8 Aralık 2019 Pazar

SpringSecurity HeadersConfigurer Sınıfı

Giriş
Spring şu header'ları varsayılan değerleri ile ekler
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000 ; includeSubDomains
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block

contentSecurityPolicy metodu
Örnek
Şöyle yaparız
  
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
  httpSecurity
     .authorizeRequests().anyRequest().authenticated()
    .and().httpBasic()
    .and()
    .headers().contentSecurityPolicy("script-src 'self'");
}
frameOptions metodu
HeadersConfigurer.FrameOptionsConfig nesnesi döndürür.

Örnek
Şöyle yaparız.
http
  .headers()
    .frameOptions().disable()
   .and()
Örnek
Şöyle yaparız
http.
  .headers
    .frameOptions().mode(XFrameOptionsServerHttpHeadersWriter.Mode.SAMEORIGIN)
X-XSS-Protection
Cross-Site scripting(XSS) içindir.

httpStrictTransportSecurity  metodu
HeadersConfigurer.HstsConfig Sınıfı yazısına taşıdım.

Hiç yorum yok:

Yorum Gönder