Liferay DXPのHTTPリクエストおよびレスポンスに特定のセキュリティヘッダーが含まれていない理由

問題

  • 次のヘッダーがLiferayにありません
    • 1.「X-Content-Type-Options」ヘッダーがありません
      2.「X-XSS Protection」ヘッダーがありません
      3.「X-Frame-Options」ヘッダーがありません
      4.「Content-Security-Policy」がありませんヘッダー

      5.「Strict-Transport-Security」ヘッダーの欠落
      6.クロスオリジンリソースシェアリング(CORS)の欠落
      7.「パブリックキーピン」ヘッダーの欠落

環境

  • Liferay DXP 7.0-7.2

解決

  • 次のヘッダーは、リクエストを検査するときにデフォルトで使用できます。
    1)"X-Content-Type-Options"ヘッダー
    2)"X-XSSProtection"ヘッダー
    3)"X-Frame-Options"ヘッダーScreenshot_from_2020-01-28_17-22-27.png
  • 残りのヘッダーに来る、
    4)"Content-Security-Policy"ヘッダー:Liferayポータルは、CSPディレクティブを設定するための構成/ UIがないという意味で、CSPを直接サポートしていません。 ただし、CSPディレクティブは独自に追加できます(たとえば、Webサーバー、テーマを介して)。 コンテンツセキュリティポリシー(CSP)記事は、同じことを達成するのに役立つ場合があります。

    5)"厳密-トランスポートセキュリティ"ヘッダ:この設定は、Tomcatの(としないLiferayの上)側のようなアプリケーションサーバ上で実行されるべきであるHTTP厳格なトランスポート・セキュリティ(HSTSを可能にする)記事は同じことを達成するのに役立つかもしれません。

    6)「クロスオリジンリソースシェアリング(CORS)」ヘッダー:クロスオリジンリソースシェアリングは、Liferay構成では管理されません。 以下の記事には、CORSを有効にするために使用できるWebサーバー構成のいくつかの役立つ情報と例があります。
    a)クロスオリジンリソースシェアリング(CORS)
    b)CORSフィルター

    7)「公開キーピン」ヘッダー:この構成はWebサーバーで実行する必要があります。 この記事:HTTP公開キーのピン留め(HPKP)は、公開キーのピンを有効にするのに役立ちます。

追加情報

ご注意:上記のハイパーリンクされた記事はそれにいくつかのポインタを取得するために、共有とFされている非公式の記事ですこれらの記事をollowingするまで、あなたの裁量に完全であるが。

4から7で説明されているヘッダーは、アプリケーションサーバーまたはWebサーバーのいずれかで構成する必要があり、どちらのプラットフォームもLiferayサポートの範囲外です。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています