YinHong coding notes

在Java使用TLS的部分 有時候會遇到需使用TLSv1.0 v1.1的狀況 須由 java.security file 去調整 tls.disabledAlgorithms 拿掉 TLSv1.0 TLSv1.1 但執行後卻又不如預期，還是跑出一樣的結果 這時有可能是執行時 tls.disabledAlgorithms 讀取的來源導致的 可能是從 Security properties（java.security  也可能是從 System properties 這時可以加入此執行參數 -Djava.security.debug=properties 並透過以下二項目確認 properties: java.security.disableSystemPropertiesFile=false properties: security.useSystemPropertiesFile=false https://stackoverflow.com/questions/73958582/java-how-to-know-the-actual-security-properties-in-use

1. 在接到 request 的時候先 rewrite 它 // xxx.js -> xxx.js.gz 2. 在對應檔案的時候在指定他的 content-type and set content-enconding header //這些加到 httpd.conf 下，或指定的 virtual host 下 <Location /js/>     RewriteEngine on     RewriteCond %{HTTP:Accept-Encoding} \b(x-)?gzip\b     RewriteCond %{REQUEST_FILENAME}.gz -s     RewriteRule ^(.+) $1.gz [L] </Location> <FilesMatch \.js\.gz$>     ForceType text/javascript     Header set Content-Encoding gzip </FilesMatch>

在專案中雖然使用JWT做驗證（即為stateless的模式 但還是被黑箱掃出來有 過度廣泛的工作階段 的弱點（Medium 所以還是得試著處理，報告中提到設置 cookie.domain 即可 Springboot 的 cookie 設定，在 Property 中加入以下即可 server.servlet.session.cookie.comment= server.servlet.session.cookie.domain= server.servlet.session.cookie.http-only= server.servlet.session.cookie. max -age= server.servlet.session.cookie.name= server.servlet.session.cookie. path= server.servlet.session.cookie.secure=

 RHEL7 小排雷 過往都用Ubuntu/Windows Server來做環境 這次第一次依規格用了RHEL做測試環境 結果服務起起來本地正常，但 VM host 跟外部就是死活連不上機器!! 浪費一整天才想到或許是 firewall 的問題 指令參考以下即可 firewall-cmd --zone=public --permanent --add-port 8080/tcp firewall-cmd --reload