HCL Commerce Version 9.1.2.0 or later

Activation de l'en-tête Strict-Transport-Security

Vous pouvez configurer les paramètres d'en-tête Strict-Transport-Security pour vous aider à protéger votre site contre les attaques de type " homme du milieu". Cet en-tête informe le navigateur qu'il ne doit jamais charger un site à l'aide de HTTP et qu'il doit convertir automatiquement toutes les tentatives d'accès au site à l'aide de requêtes HTTP en tentatives d'accès au site à l'aide requêtes HTTPS à la place.

About this task

Utilisez ces instructions pour définir vos serveurs afin d'autoriser les navigateurs à accéder via HTTPS, mais pas via HTTP.

Pour plus d'informations sur cet en-tête, consultez la page Documentation Mozilla.org.

Les valeurs possibles de votre en-tête Strict-Transport-Security sont les suivantes :
max-age=<expire-time>
Durée, en secondes, pendant lequel le navigateur doit se souvenir qu'un site ne doit être accessible qu'en utilisant HTTPS.
includeSubDomains (facultatif)
Si ce paramètre facultatif est spécifié, cette règle s'applique également à tous les sous-domaines du site.
preload (facultatif)
Pour plus de détails, voir Préchargement de Strict Transport Security. Ne fait pas partie de la spécification.

Procedure

  • La classe du serveur de transactions HttpSecurityFilter ajoute un en-tête Strict-Transport-Security à la réponse en fonction de la configuration spécifiée dans la base wc-component.xml. Elle est activée par défaut pour le WAR REST-Transaction suivant par défaut comme suit : 
    <_config:configgrouping name="HttpSecuritySettings_Rest-Transaction">
<!-- Set the value of Strict-Transport-Security. Empty value will disable this header. Default value of 31536000 seconds is 1 year. -->
<_config:property name="Strict-Transport-SecurityHeader" value="max-age=31536000; includeSubDomains"/>		
</_config:configgrouping>
  • Pour personnaliser la valeur d'en-tête Strict-Transport-Security ou pour la spécifier pour d'autres WAR, ajoutez la propriété correspondante à votre fichier wc-component.xml de base étendu. Pour plus d'informations sur la façon de créer un fichier de configuration personnalisé, voir Modification des propriétés dans le fichier de configuration du HCL Commerce (wc-component.xml).