【发布时间】:2020-04-10 02:25:52
【问题描述】:
我使用 Spring Security 5.1.6,并阅读有关安全标头 here 的信息;
Spring Security 允许用户轻松注入默认安全性 标头以帮助保护其应用程序。默认为 Spring Security 将包含以下标头:
缓存控制:无缓存、无存储、max-age=0、必须重新验证
编译指示:无缓存
过期:0
X-Content-Type-Options: nosniff
严格的传输安全性: max-age=31536000 ;包括子域
X 帧选项:拒绝
X-XSS-保护:1;模式=块
但是从这个文档看来,这些头文件似乎没有被隐式添加,所以我需要自己注入默认头文件。问题是,我可以在 spring-security.xml 中做到这一点,还是必须以其他方式做到这一点?
【问题讨论】:
-
@AK47 好像没有,因为有些资源没有得到标题。 “让用户轻松注入”听起来好像真的要对我做点什么。
标签: java spring spring-security http-headers