支持 HTTP 严格传输安全 HSTS
HTTP 严格传输安全 HSTS )是一种帮助防止 HTTP遭受某些中间人攻击的机制。 它允许服务器指示兼容的用户代理(如网络浏览器)仅通过安全连接 HTTPS 与服务器交互。
HSTS 由服务器HTTP中返回Strict-Transport-Security标头来实现。 此头指示用户代理仅应与服务器安全交互的时间段,以及此行为是否扩展至任何子域。
HSTS示例如下:
Strict-Transport-Security: max-age=86400; includeSubDomainsRFC 6797 HTTP 严格传输安全 HSTSHSTS 进行了全面描述。
CICS启用 HSTS 支持
配置 CICS® ,只有在所有入站连接都是安全的,且 CICS 服务器是完全安全域的一部分时,才支持 HSTS。 CICS 提供了一系列功能切换,用于HSTS。
功能切换设置适用于所有已安装的 TCPIPSERVICE(具有 HTTP )以及 CMCI JVM 服务器。
注:
- 功能切换不适用于 CICS 内Liberty JVM服务器接收到的 HTTP 请求。 请改为HTTP 严格传输安全 HSTS 来确保自由。
- 如果 CICS使用 EXEC CICS WEB WRITE HTTPHEADER 提供自己的 HSTS 标头,则使用该标头。 CICS 不会覆盖它。
要在区域级别配置 HSTS ,请使用以下功能开关:
- com.ibm.cics.web.hsts.max-age=秒
- 为整个区域启用 HSTS ,并以秒为单位设置 HSTS 最大有效期 (0-99999999)。 一年 31536000 秒。
- com.ibm.cics.web.hsts.includesubdomains={true|false}
仅当还指定了
com.ibm.cics.web.hsts.max-age功能切换时才生效。它控制是否将 HSTS 扩展到 CICS子域。 当指定了
true时, includeSubDomains将添加到 HSTS中。
为了获得粒度,您可以为单个 TCPIPSERVICE 配置 HSTS ,以使用以下功能切换来覆盖区域范围的设置。
但是 ,CMCI JVM服务器只能使用区域范围HSTS。
- com.ibm.cics.web.hsts.max-age。TCPIPS= {seconds| -1}
- TCPIPS
指定单个 TCPIPSERVICE 的名称,使其 HSTS与区域设置不同。
- 秒
HSTS中指定TCPIPSERVICE 的最大生存时间。
- -1
- 为指定的 TCPIPSERVICE 禁用 HSTS。
- com.ibm.cics.web.hsts.includesubdomains。TCPIPS={true|false}
仅当还指定了
com.ibm.cics.web.hsts.max-age.TCPIPS功能切换时才生效。它控制是否将 HSTS 扩展到指定的TCPIPSERVICE的子域。 当指定了
true时, includeSubDomains将添加到 TCPIPS指定的 TCPIPSERVICE HSTS中。