La habilitación de HSTS con Spring Boot no funciona.
Tengo una aplicación de Spring Boot.
Me gustaría habilitar HSTS.
Agregué la configuración documentada a mi SecurityConfiguration (ver abajo),
pero el encabezado HSTS no aparece.
¿Qué estoy haciendo mal?
@Slf4j
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.headers()
.httpStrictTransportSecurity()
.includeSubDomains(true)
.preload(false)
.maxAgeInSeconds(31536000);
No puedo encontrar el encabezado en las Herramientas para desarrolladores de Chrome (F12 -> Red -> Encabezados -> Encabezado de respuesta) cuando accedo a la página ni cuando realizo pruebas con el sitio oficial https://gf.dev/hsts-test.
davy.ai
Existen algunas posibilidades por las cuales el encabezado HSTS no aparece:
Verifique si el encabezado HSTS se está enviando accediendo a la aplicación utilizando una herramienta como cURL o una extensión del navegador como Tamper Data. Si el encabezado se está enviando, entonces el problema podría estar relacionado con las Chrome Dev Tools.
Intente limpiar la caché del navegador y acceda nuevamente a la aplicación. A veces, las respuestas en caché pueden impedir que aparezca el encabezado HSTS.
Verifique si el encabezado HSTS está siendo anulado por otro encabezado. Algunos encabezados, como el encabezado “Cache-Control”, pueden anular el encabezado HSTS. Asegúrese de que no haya encabezados conflictivos en su aplicación.
Si ninguna de estas soluciones funciona, intente depurar la aplicación utilizando una herramienta como Wireshark para ver si el encabezado HSTS se está enviando desde el servidor. Si no se está enviando, podría haber un problema con el archivo SecurityConfiguration o con la configuración del servidor.