2.5 Jettyプロパティ・ファイル
OSA-19.1.0.0.*/osa-base/etc/jetty.propertiesにあるjettyプロパティを使用して、特定のセキュリティ機能を変更します。
ノート:
これらのプロパティは、後のステージで構成する場合、サーバーの再起動を避けるためにインストール・ステージで構成することをお薦めします。- jetty.session.timeout
OSA Webセッションのタイムアウトを設定できます。これにより、OSA Webセッションのタイムアウトが設定されます。デフォルトでは、このタイムアウトは30分に設定されています。値は1より大きい任意の整数に変更できます。
- host.headers.whitelist
x-forwarded-hostヘッダー値をこのプロパティで定義した値に制限できます。
例: host.headers.whitelist= www.oracle.com, www.microsoft.com, localhost:9080ここでは、hostヘッダーの値はリストされている3つのドメインのみにすることができます。このプロパティに#を付けてコメントにすると、ヘッダーの値がすべて許可されます。
ノート:
リクエストにhostヘッダーを明示的に指定しない場合、デフォルト値はhost-server:portで、ここではOSA jettyサーバーが実行されています。そのため、サーバー・アドレスとともにポート番号を指定する必要があります。 - xforwarded.host.headers.whitelist
x-forwarded-hostヘッダー値をこのプロパティで定義した値に制限できます。
例: xforwarded.host.headers.whitelist= www.oracle.com, www.microsoft.com, localhostここでは、x-forwarded-hostヘッダーの値はリストされている3つのドメインのみにすることができます。このプロパティに#を付けてコメントにすると、ヘッダーの値がすべて許可されます。ドメインを入力しなかった場合、つまりプロパティの値が空の場合、このヘッダーはサポートされません。
- response.headers.list
各リクエストのレスポンスとともに送信されるレスポンス・ヘッダーのカンマ区切りリスト。
例: response.headers.list="x-frame-options: sameorigin, X-Content-Type-Options: nosniff"デフォルトでは、前述の2つのレスポンス・ヘッダーが設定されます。x-frame-options: sameoriginはクリックジャック攻撃を防ぎます。X-Content-Type-Options: nosniffは、ブラウザによるレスポンス・コンテンツのスニッフィングを防ぎます。