LinuxでHTTP Strict Transport Header(HSTS)を構成する必要があります。 Tomcat/Conf Web.xml ファイルに以下を追加しました。 httpHeaderSecurity org.apache.catalina.filters.HttpHeaderSecurityFilter
<init-param>
<param-name>hstsEnabled</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>hstsMaxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>hstsIncludeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<async-supported>true</async-supported>
また、server.xmlファイルにポート80を追加しましたが、まだ厳密なトランスポートヘッダーを使用することはできません。
ベストアンサー1
HSTSはHTTPSサイトのセキュリティ構成であり、通常のHTTPを使用して構成することはできません。
バラよりMozilla - 厳格なトランスポートセキュリティ
HTTP Strict-Transport-Securityレスポンスヘッダー(しばしばHSTSと略す)を使用すると、WebサイトはHTTPではなくHTTPSを介してのみアクセスできることをブラウザに通知できます。
リクエストに応じて協会あなたのコメントによると、TomcatでHSTSを使用するには、同じホストにWebサーバーのフロントエンドが必要です。
このフォームを介してHSTSプリロードリストに含めるには、サイトが次の要件を満たす必要があります。
有効な証明書を提供してください。
ポート80でリッスンしている場合は、同じホストからHTTPからHTTPSにリダイレクトします。
すべてのサブドメインはHTTPSを介して提供されます。
よくある質問によると、これを行うのに役立つ具体的な手順はトピックとは異なります。
考えられる解決策の1つは次のとおりです。サイト/TomcatのフロントエンドであるApache+SSL+X.509証明書。これを行うときは注意してください。Tomcatには特定のステップもあります。。また見てくださいTomcat 9公式SSLガイド。