Not injecting HSTS header since it did not match the requestMatcher HSTS设置问题解决

最新推荐文章于 2024-08-14 10:56:37 发布
最新推荐文章于 2024-08-14 10:56:37 发布
阅读量7.4k 收藏 2
点赞数 2
分类专栏: 那些让你措手不及的错误和异常 文章标签: java http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_monster/article/details/119936215
版权

HSTS Spring Security HTTPS 配置 错误修复
关键词由CSDN通过智能技术生成
HSTS请求设置
  • 错误描述:在使用文件上传功能时,form表单提交带有header数据的请求时遇到这个问题,报错如下:
Not injecting HSTS header since it did not match the requestMatcher org.springframework.security.web.header.writers.HstsHeaderWriter$SecureRequestMatcher@79cc14a4
[DEBUG] 2021-08-26 14:04:27.317 [http-nio-10010-exec-8] SecurityContextPersistenceFilter.doFilter(119) - SecurityContextHolder now cleared, as request processing completed
  • 原因:没有设置 HTTPS,则永远不应读取 HSTS 值
  • 解决方法:
@Configuration
@EnableWebSecurity
public class SecurityConfigurer extends WebSecurityConfigurerAdapter {
    ...
    @Override
    protected void configure(HttpSecurity http) throws Exception {
    		//以下两种方法选择其一 
      	//第一种
      	http.headers().httpStrictTransportSecurity().disable()
        // 第二种
        http.headers().httpStrictTransportSecurity()
              .maxAgeInSeconds(0)
              .includeSubDomains(true);
    }
}
HSTS漏洞(缺少Strict-Transport-Security头)
墨痕诉清风的博客
05-17 3239
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标头。理想回复响应头因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。
Spring Security中使用AJAX向后台传送数据
bnrmaster的博客
10-26 7512
Spring Security中使用AJAX向后台传送数据 AJAX 跨域 org.springframework.security.web.csrf.CsrfFilter - Invalid CSRF token found for
Reject: HTTP ‘DELETE‘ is not allowed, Not injecting HSTS.....DELETE请求PUT请求跨域问题
了迹奇有没
08-26 936
CORS(DELETE请求、PUT请求) Reject: HTTP 'DELETE' is not allowed [DEBUG] 2021-08-25 15:23:52.401 [http-nio-10010-exec-1] HstsHeaderWriter.writeHeaders(169) - Not injecting HSTS header since it did not match the requestMatcher org.springframework.security.web.head
Miss HSTS header in checkmarx
songcode的专栏
09-03 2145
按照Owasp的推荐设置 header 后依然无法通过checkmarx SAST scan.无奈只能acknowledge. 后续更新细节。
Missing HTTP Strict-Transport-Security Header (HSTS) 解决
weixin_33796177的博客
08-21 4930
HSTS简介 HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。 server { listen 443 ssl; server_name ww...
84502 (15) - HSTS Missing From HTTPS Server
qq_35335755的博客
12-28 3442
漏洞 漏洞名称:84502 (15) - HSTS Missing From HTTPS Server 漏洞描述:The remote HTTPS server is not enforcing HTTP Strict Transport Security (HSTS). HSTS is an optional response header that can be configured on the server to instruct the browser to only communic..
SpringBoot】使用@RequestHeader 注解返回400 Missing request header
热门推荐
12Dong的博客
08-26 1万+
使用 ... @RequestHeader(value = "_ga") final String _ga ... 获取浏览器在Header里值的时候,在本地调试没有问题,但一旦上了服务器就会返回 { "timestamp": 1566800459117, "status": 400, "error": "Bad Request", "exception": "or...
16:56:58.851 logback [XNIO-1 task-1] DEBUG o.s.s.w.h.writers.HstsHeaderWriter - Not injecting HSTS header since it did not match the requestMatcher org.springframework.security.web.header.writers.HstsHeaderWriter$SecureRequestMatcher@181b658d 16:56:58.869 logback [XNIO-1 task-1] DEBUG o.s.w.s.m.m.a.ExceptionHandlerExceptionResolver - Resolved [org.springframework.web.HttpRequestMethodNotSupportedException: Request method 'POST' not supported] 16:56:58.870 logback [XNIO-1 task-1] DEBUG o.s.web.servlet.DispatcherServlet - Completed 500 INTERNAL_SERVER_ERROR
06-10
在您的错误日志中,可以看到 `org.springframework.web.HttpRequestMethodNotSupportedException: Request method 'POST' not supported` 这个错误信息,它表示您正在尝试使用 POST 请求方法访问一个不支持 POST ...
Could not write JSON: You used the annotation `@FieldSensitive` but did not inject `SensitiveStrategy`
04-01
You can do this by creating a bean for the `SensitiveStrategy` in your application context and then injecting it into the class where the annotation is used. For example: ``` @Configuration public...
The bean ‘xxx‘ could not be injected as a ‘xxx‘ because it is a JDK dynamic proxy that implements:
༺清风暖云༻
04-09 6446
这种错误不仅在mapper(dao)层,在service层也会出现~ 我当时在本地跑的时候一点问题都没得有,因为我的这个项目我只拉下来一个模块,并没有把其他模块拉下来,结果在提交代码往测试环境上推了后项目直接起不来,并报了如下错误~ 错误信息: Description: The bean 'attachMapper' could not be injected as a 'org.macrocloud.modules.sys.mapper.ProcessInspectionAttachMapper' be
对未标记为可安全执行的脚本_前端需要知道的 HTTP 安全头配置
weixin_39566773的博客
10-27 413
作者:webbwang链接:https://github.com/lvwxx/blog/issues/17在本文中,将介绍常用的安全头信息设置,并对每个响应头设置给出一个示例。Content-Security-Policy内容安全策略(CSP)常用来通过指定允许加载哪些资源来防止跨站点脚本攻击。在接下来所介绍的所有安全头信息中,CSP 可能是创建和维护花费时间最多的而且也是最容易出问题...
解决org.springframework.web.bind.MissingRequestHeaderException缺少请求头异常的正确解决方法,亲测有效!!!
小明的Java问道之路
03-02 2106
解决org.springframework.web.bind.MissingRequestHeaderException缺少请求头异常的正确解决方法,亲测有效!!!
java.lang.RuntimeException: org.springframework.dao.DuplicateKeyException:
weixin_30445169的博客
06-26 1546
java.lang.RuntimeException: org.springframework.dao.DuplicateKeyException: ### Error updating database. Cause: com.mysql.jdbc.exceptions.jdbc4.MySQLIntegrityConstraintViolationException: Duplicate en...
spring security4 security="none"小讲
Chenctrl的博客
10-29 7375
在学习spring security4时,参考文档,spring-security.xml有如下片段: http pattern="/resources/**" security="none" /> http pattern="/login" security="none"/> http auto-config="true" use-expressions="true
java几种常见漏洞种类及处理方案
最新发布
weixin_47276069的博客
08-14 1788
Input Path Not Canonicalized”(输入路径未规范化)是一种安全漏洞,它发生在应用程序接收用户提供的文件路径或目录路径时,如果没有正确地规范化这些路径,可能会导致路径遍历攻击。假设 baseDir 的值为 /var/data,而 userPath 的值为 ../etc/passwd,那么原始路径将是 /var/data/..//etc/passwd。例如,路径 /var/data/../data/file.txt 会被规范化为 /var/data/file.txt。
spring-security 默认登录页面(一)
modelmd的博客
02-01 3957
Spring Security是一个强大且高度可定制的身份验证和访问控制框架。天然与Spring整合,易扩展,引入jar包就可以用了,在boot自动装载下,不需要任何配置就可以控制资源访问。那么默认登录页是如何生产的呢?
学习笔记随记-2019-01-11-Spring Cloud Security+Oauth2+JWT权限认证与zuul结合遇到的问题
nvluco的博客
01-13 1万+
20190111 1.学到的知识 1.1.记录问题 1.1.1回到昨天的问题,继续解决: 报错二: postman的返回结果信息如下: 将日志输出转换为debug,查看控制台日志如下: 2019-01-11 00:13:04.663 DEBUG 21056 --- [http-nio-9090-exec-6] o.s.boot.actuate.audit.listener.AuditList...
用servlet写接口时遇到的一系列的问题,跟Spring有关
a945919556的博客
06-15 555
有两款产品上的很急,所以就按照之前同事写的方法写了接口,妈的居然是servlet,so old…… 之前调试的好好的,啥问题没有,然后我神操作了一番,一共有两个servlet,当我访问第一个servlet再访问第二个servlet的时候,但是我这个访问顺序颠倒过来的时候…… 结果突然遇到了一个让人疯狂的问题: Error creating bean with name 'tecHolderS
解决Spring Security 开启remember-me(持久化),session并发控制后重启服务器remember-me持久化凭证消失问题
Chenctrl的博客
10-29 6007
学习Spring security过程中实现了remember-me的持久化实现(其实很简单的呀)<remember-me key="elim" remember-me-parameter="remember-me" token-validity-seconds="604800" data-source-ref="dataSource" user-service-ref="custom
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

了迹奇有没

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值