У меня Spring Boot приложение работает на сервере. Все запросы выполняются через HTTPS.
Мне нужно включить Strict Transport Security. В моей Spring Boot конфигурации я включил
.http
....
.headers()
.httpStrictTransportSecurity()
.includeSubDomains(true)
.maxAgeInSeconds(HSTS_MAX_AGE_365_DAYS);
А также добавил аннотацию @EnableWebSecurity в класс configurer.
Но, тем не менее, ни один запрос не содержит заголовка strict-transport-security, а также на вкладке security (в Firefox) упоминается, что безопасность транспорта отключена.
В чем проблема? Почему он не включен?