1

Tomcat にデプロイされた Web アプリがあります。アプリ内のほぼすべてのページでは、インデックス ページとその他のページを除き、HTTPS が必要です。HTTPS が必要なページにアクセスすると、ブラウザーは常に HTTPS を使用します。HTTPS を必要としないページにアクセスすると、ブラウザは主にオリジンに応じて HTTP を使用したり、HTTPS を使用したりすることがあります。私の質問は、暗号化を必要としないページにブラウザに HTTP (s なし) を使用させることができるかどうかです。

これは、暗号化が必要なリソースを決定する web.xml の一部です。

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Protected</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>

    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Open</web-resource-name>
        <url-pattern>/</url-pattern>
        <url-pattern>/contact</url-pattern>
        <url-pattern>/robots.txt</url-pattern>
        <url-pattern>/sitemap.xml</url-pattern>
    </web-resource-collection>

    <user-data-constraint>
        <transport-guarantee>NONE</transport-guarantee>
    </user-data-constraint>
</security-constraint>
4

1 に答える 1