Falta encabezado HSTS | Develop Site
La aplicación no utiliza el encabezado HSTS. La seguridad de transporte estricta HTTP (HSTS) es una mejora de seguridad opcional que especifica una aplicación web mediante el uso de un encabezado de respuesta especial. Una vez que un navegador compatible recibe este encabezado, ese navegador evitará que se envíen comunicaciones a través de HTTP al dominio especificado y en su lugar enviará todas las comunicaciones a través de HTTPS. También evita que HTTPS haga clic en las indicaciones en los navegadores.
Cómo resolverlo
Utilice encabezados HTTP para decirle al navegador y a cualquier proxy que intervenga que no almacenen estos datos en caché. Como mínimo, Hdiv Agent espera ver una configuración de control de caché que no contenga almacenamiento ni caché. Esto aliviará las preocupaciones sobre el almacenamiento en caché del navegador del lado del cliente en los navegadores modernos.
La mejor manera de evitar que este problema ocurra en las aplicaciones Java EE es agregar las siguientes llamadas setHeader () a un filtro de servlet que está asignado para aplicarse a todas las páginas que contienen contenido sensible:
- response.setHeader("Strict-Transport-Security","max-age=31536000; includeSubDomains; preload");
Si la configuración de encabezados es difícil en su infraestructura, también puede simularlos mediante metaetiquetas en el HTML enviado al navegador:
- <meta http-equiv="Strict-Transport-Security" content="max-age=31536000; includeSubDomains; preload">
- blog de developsite
- Log in or register to post comments