Swisscom CloudFoundryアプリケーションに対応してHeader "Strict-Transport-Security"を2回

Question

SpringBootアプリケーションでSwisscom CloudFoundryソリューションを使用する場合、2つのStrict-Transport-SecurityヘッダーがHTTPS応答に追加されます。私はこの問題を調べ、CloudFoundryソリューションによっていくつかのヘッダーが追加されていることを発見しました。デフォルトでは、SpringブートはStrict-Transport-Securityヘッダーも（セキュリティで保護されたサイトに）既に追加されており、2つの異なるHSTSヘッダーにつながります。

自分のアプリケーションのヘッダーを自分のアプリケーション内で構成したいと考えています。 Swisscom CloudFoundryソリューションのこの自動ヘッダー追加を無効にする方法はありますか？

もしそうでなければ、既存のStrict-Transport-Securityヘッダーをヘッダーのリストに追加せずに上書きするようにSwisscom Cloudに指示する方法はありますか？レポートの

Strict-Transport-Security:max-age=31536000 ; includeSubDomains 
Strict-Transport-Security:max-age=15768000; includeSubDomains 

Answer 1

ありがとう：

春ブートアプリケーションからのHTTP応答は、スイスコムのクラウドを展開し、次の2つのヘッダが含まれています。我々は現在、いくつかのフレームワークがデフォルトでそれを追加していることに気づいていないので、現在のところ、HSTSヘッダーを挿入（置換ではない）します。ヘッダーは重複していると思われるので、ヘッダーは常に上書きすることを検討します。ほとんどの使用例では、デフォルトの設定が適切です。

今のところ：Spring BootでHSTSの設定を無効にすることはできますか？ Spring boot docsによると、あなたはこのスニペットでそれを無効にすることができるはずです。

@EnableWebSecurity 
public class WebSecurityConfig extends 
     WebSecurityConfigurerAdapter { 

    @Override 
    protected void configure(HttpSecurity http) throws Exception { 
     http 
      // ... 
      .headers() 
       .frameOptions().sameOrigin() 
       .httpStrictTransportSecurity().disable(); 
    } 
} 

更新：我々はすぐにこの動作を変更します：アプリはすでにそれを設定していない場合Appcloudは、ヘッダのみを設定します。そのため、開発者がHSTSを実装したいと思うかどうか、またどのように実装したいのかを決めるのではなく、デフォルトを提供します。

更新2：新しい動作が行われています。