HSTS
HTTP Strit Transport Security
HSTS 옵션
max-age
브라우저가 HSTS 정책을 적용할 기간(초)
includeSubdomains
도메인 포함 서브도메인에도 HSTS 설정 적용
preload
도메인이 브라우저의 preload list에 추가되며 브라우저에서는 HSTS 헤더가 없더라도 HTTP 요청을 HTTPS로 강제 변환하여 전송
@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
...
// HTTP Strict Transfer Security 헤더 추가
((HttpServletResponse)response)
.setHeader("Strict-Transport-Security",
"max-age=31536000; includeSubDomains; preload");
...
chain.doFilter(new HTMLTagFilterRequestWrapper((HttpServletRequest)request), response);
}개발자 도구(F12) - Network - 페이지 선택
