Spring HTTP Strict Transport Security (HSTS) и FireFox

Spring Security (4.0.1.Release) по умолчанию устанавливает хост HSTS для протокола https, и вы можете увидеть Strict-Transport-Security: max-age=31536000 ; в заголовке ответа (я использовал Firefox> Веб-разработка> Сеть).

Но когда я смотрю на консоль firefox, я вижу ошибку, в которой говорится: The site specified an invalid Strict-Transport-Security header. Я также вручную установил заголовок hsts в конфигурации spring как:

    <headers>
        <hsts />
    </headers>

Создается тот же заголовок ответа, и FireFox снова показывает ошибку.

Согласно https://developer.mozilla.org/docs/Security/HTTP_Strict_Transport_Security заголовок должен быть правильным!

Любые комментарии ?!

введите здесь описание изображения


spring security spring-security firefox hsts
person Alireza Fattahi    schedule 28.06.2015    source источник
comment
Происходит ли это при доступе к веб-сайту по обычному протоколу HTTP или при доступе по протоколу HTTPS?   -  person SilverlightFox    schedule 29.06.2015
comment
При доступе к HTTPS   -  person Alireza Fattahi    schedule 29.06.2015
comment
Как другие браузеры обрабатывают заголовок? Не могли бы вы добавить снимок экрана браузера с заголовками ответов и ошибкой?   -  person SilverlightFox    schedule 29.06.2015
comment
Я добавил картинку, которая показывает заголовок запроса заголовка и ошибку firefox   -  person Alireza Fattahi    schedule 29.06.2015
comment
Единственное, что приходит на ум, - это пробел после количества секунд или лицо, которое вы используете на нестандартном HTTPS-порту (8443 вместо 443). HSTS может не знать, что делать, если вы не используете обычный 80 / 443 пара.   -  person SilverlightFox    schedule 29.06.2015
comment
В отношении порта вы правы, но это не решило проблему. Итак, вы, как вы сказали, max-age = 31536000; должны быть заменены на max-age = 31536000;, Я проверю !   -  person Alireza Fattahi    schedule 29.06.2015
comment
Что дает вам нажатие кнопки "Узнать больше"?   -  person SilverlightFox    schedule 29.06.2015
comment
Этот URL: developer.mozilla.org/docs/Security/   -  person Alireza Fattahi    schedule 29.06.2015
comment
Удаление места также не решило этот журнал ошибок!   -  person Alireza Fattahi    schedule 29.06.2015

Ответы (2)


arrow_upward
1
arrow_downward

Я обнаружил, что это ошибка Firefox, как упоминалось в site указал недопустимый заголовок Strict-Transport-Security - firebug.

Самозаверяющий сертификат, похоже, вызывает эту проблему.

См. Также: https://jira.spring.io/browse/SEC-3021

person Alireza Fattahi    schedule 01.07.2015

arrow_upward
0
arrow_downward

Попробуйте это, поэтому я решил аналогичную проблему:

Вы можете ввести about: config в адресную строку Firefox (подтвердите информационное сообщение, если оно появится) и выполните поиск параметра с именем security.enterprise_roots.enabled, дважды щелкнув и измените его значение на true и перезапустите firefox.

config firefox

person borchvm    schedule 24.02.2020