Help us learn about your current experience with the documentation. Take the survey.
缺少或无效的严格传输安全(Strict-Transport-Security)头
描述
发现缺少或无效的 Strict-Transport-Security 头。Strict-Transport-Security 头允许网站运营商强制通信通过 TLS 连接进行。通过启用此头,网站可以保护其用户免受各种形式的网络窃听或拦截攻击。虽然大多数浏览器会阻止混合内容(从 HTTPS 站点导航时加载来自 HTTP 的资源),但此头还确保所有资源请求都仅通过安全传输发起。
修复
只有三个指令适用于 Strict-Transport-Security 头。
max-age:此必需指令指定在收到响应后,应仅通过安全传输通信多长时间(以秒为单位)。includeSubDomains:此可选的无值指令表示该策略适用于此主机以及在此主机域下找到的任何子域。preload:虽然不是规范的一部分,但设置此可选值允许主要浏览器组织将此站点添加到浏览器的预加载 HTTPS 站点集中。这需要网站运营商采取进一步行动,将其域名提交到浏览器的 HSTS 预加载列表中。更多信息请参见 hstspreload.org。
无效的指令,或者 Strict-Transport-Security 头出现多次(如果值不同),都被视为无效。
在将此安全配置添加到您的网站之前,建议您查看 hstspreload.org 的 部署建议。
详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 16.7 | true | 16 | Passive | Low |