HCL Commerce Version 9.1.2.0 or later

Habilitar la cabecera Strict-Transport-Security

Puede configurar los valores de la cabecera Strict-Transport-Security para ayudarle a proteger el sitio contra ataques de man-in-the-middle. Esta cabecera informa al navegador de que nunca debe cargar un sitio mediante HTTP y debe convertir automáticamente todos los intentos para acceder al sitio mediante solicitudes HTTP a HTTPS.

About this task

Utilice estas instrucciones para configurar los servidores para permitir el acceso de los navegadores mediante HTTPS, pero no mediante HTTP.

Para obtener más información sobre esta cabecera, consulte la siguiente página de documentación Mozilla.org.

A continuación se muestran los posibles valores para la cabecera Strict-Transport-Security:
max-age=<expire-time>
El tiempo, en segundos, que el navegador debe recordar que solo se debe acceder a un sitio mediante HTTPS.
includeSubDomains (opcional)
Si se especifica este parámetro opcional, esta regla se aplica también a todos los subdominios del sitio.
precarga (opcional)
Consulte Precarga de Strict Transport Security para obtener más detalles. No forma parte de la especificación.

Procedure

  • La clase de HttpSecurityFilter del servidor de transacción añade una cabecera Strict-Transport-Security a la respuesta basándose en la configuración especificada de base wc-component.xml. Está habilitada de forma predeterminada para los siguientes parámetros REST-Transaction WAR como se muestra a continuación: 
    <_config:configgrouping name="HttpSecuritySettings_Rest-Transaction">
<!-- Set the value of Strict-Transport-Security. Empty value will disable this header. Default value of 31536000 seconds is 1 year. -->
<_config:property name="Strict-Transport-SecurityHeader" value="max-age=31536000; includeSubDomains"/>		
</_config:configgrouping>
  • Para personalizar el valor de cabecera Strict-Transport-Security o para especificarlo para otros WAR, añada la propiedad correspondiente al archivo de base wc-component.xml ampliado. Para obtener más información sobre cómo crear un archivo de configuración personalizado, consulte Cambio de propiedades en el archivo de configuración de HCL Commerce (wc-component.xml).