Lors de l'utilisation de la solution Swisscom CloudFoundry avec une application Spring Boot, deux en-têtes Strict-Transport-Security
sont ajoutés à une réponse HTTPS. J'ai examiné ce problème et découvert que plusieurs en-têtes sont ajoutés par la solution CloudFoundry. Spring Boot, par défaut, ajoute déjà l'en-tête Strict-Transport-Security
(sur les sites sécurisés), ce qui conduit à deux en-têtes HSTS différents.En-tête "Strict-Transport-Security" deux fois en réponse à l'application Swisscom CloudFoundry
Je souhaite configurer les en-têtes de mon application dans mon application. Est-il possible de désactiver cet ajout automatique d'en-tête de la solution Swisscom CloudFoundry?
Sinon, est-il possible d'indiquer à Swisscom Cloud d'écraser les en-têtes Strict-Transport-Security
existants au lieu de l'ajouter à la liste des en-têtes?
Une réponse HTTP de l'application de démarrage Spring, déployé le Cloud Swisscom, puis contient les deux têtes suivants:
Strict-Transport-Security:max-age=31536000 ; includeSubDomains
Strict-Transport-Security:max-age=15768000; includeSubDomains
Merci pour votre réponse. Cela fonctionne, mais je voudrais gérer ma configuration de sécurité dans mon application. Une configuration de sécurité divisée (c'est-à-dire désactivant activement l'en-tête HSTS dans mon application) augmente la probabilité de l'oublier. Merci pour votre travail! –