Habilita a geração e possível envio do campo |
Valor | Descrição |
---|---|
0 (padrão) | Não gera o campo HTTP Strict Transport Security (HSTS) . |
1 | Gera o campo HTTP Strict Transport Security (HSTS) . |
HTTP Strict Transport Security (HSTS)
do header de resposta do protocolo HTTP
, definido na RFC6797 - HTTP Strict Transport Security (HSTS), é um recurso de segurança que permite a sites informar os browsers de que aqueles somente deveriam ser acessados usando HTTPS
, em vez de HTTP
;HSTS
, mas não garante sua inclusão no header do protocolo HTTP
: esta depende de uma regra de inclusão específica, definida na documentação desta chave;HTTP
para HTTPS
pelo AppServer
depende de outra regra de específica, definida na documentação da desta chave;HTTP
do arquivo de configuração do AppServer
, e às chaves HSTSMaxAge e HSTSIncludeSubDomains na seção BALANCE_HTTP
do arquivo de configuração do servidor Broker
;Broker
esteja em uso, a chave equivalente a esta, caso exista na seção BALANCE_HTTP
do arquivo de configuração do servidor Broker,
também deverá ser configurada, idealmente ambas com valores iguais;HTTP
será gerado no formato definido na RFC6797 - HTTP Strict Transport Security (HSTS).Conforme definido na RFC6797 - HTTP Strict Transport Security (HSTS), o campo HSTS será gerado no seguinte formato:
Strict-Transport-Security: max-age=<expire-time>[; includeSubDomains] |
onde:
max-age
: valor positivo e obrigatório para o campo HSTS
, definido pela chave HSTSMaxAge;includeSubDomains
: flag opcional para o campo HSTS
, habilitado pela chave HSTSIncludeSubDomains.Além da chave configurada na seção HTTP
, a seguinte regra será observada para incluir o campo HSTS
no header do protocolo HTTP
:
Campo HSTS habilitado na seção HTTP do arquivo de configuração E ( o protocolo atual da mensagem é HTTPS OU o servidor Broker está configurado na chave BrokerServer ) |
Além da chave configurada na seção HTTP
, a seguinte regra será observada para determinar o envio ou não da resposta de redirecionamento de HTTP
para HTTPS
pelo AppServer
:
Campo HSTS habilitado na seção HTTP do arquivo de configuração E o protocolo atual da mensagem é HTTP E o servidor Broker NÃO está configurado na chave BrokerServer |
[HTTP] ... ; HSTS HSTSEnable = 1 HSTSMaxAge = 31536000 HSTSIncludeSubDomains = 1 ; Broker Server BrokerServer = localhost:4443 ... |
Disponível em builds à partir da versão 13.2.3.9.
HSTSMaxAge
HSTSIncludeSubDomains
BrokerServer
RFC6797 - HTTP Strict Transport Security (HSTS)