HSTS не отображается как включенный в сканерах Nessus на порте, обслуживающем Nexus 3.16.1-02
Здравствуйте,
Первое размещение -
Я пытаюсь включить HSTS на Nexus OSS 3.16.1-02
Из того, что я прочитал, это включено по умолчанию в файле jetty-https.xml
для приложения.
Я создал отредактированный jetty-ssl.xml
и добавил его в каталог /etc/jetty/
и nexus.properties
args
, для которых нужно вызывать XML-файлы.
После перезагрузки приложения и просмотра логов все выглядит хорошо. Приложение доступно, но сканер Nessus на предмет уязвимости HSTS по-прежнему возвращается положительным.
Значение по умолчанию https://localhost:443/nexus в настоящее время настроено за обратным прокси-сервером F5, а HSTS включен на F5, ssl также включен в приложении и заканчивается на порту 443.
nexus.properties
вызывает jetty.xml
, jetty-https.xml
, jetty-ssl.xml
, jetty-requestlog.xml
при запуске приложения.
Любая дополнительная информация о том, почему это может произойти, будет принята с благодарностью.
Спасибо,
MCarrica
Это nexus.properties
application-port-ssl=443
nexus-args=${jetty.etc}/jetty.xml,${jetty.etc}/jetty-ssl.xml,${jetty.etc}/jetty-https.xml,${jetty.etc}/jetty-requestlog.xml
nexus-context-path=/nexus
Это из файла jetty-https.xml для включенного HSTS
Arg><New class="org.eclipse.jetty.server.SecureRequestCustomizer"/></Arg>
Сканирования Nessus по-прежнему показывают, что HSTS не включен на порту 443 на сервере, который обслуживает приложение