未设置Strict-Transport-Security响应头
风险描述:eb应用程序没有设置Strict-Transport-Security响应标头。HTTP严格传输安全(HSTS)强制执行到服务器的安全(HTTP over SSL / TLS)连接。这可以减少网络应用程序中的漏洞通过cookie和外部链接泄漏会话数据的影响,并抵御中间人攻击。 HSTS还禁止用户忽略SSL协商警告的能力。
解决方案:需要在Web应用程序的所有页面上设置以下标题:Strict-Transport-Security:max-age = 16070400;请注意,当您设置此标头时,您需要在端口443上运行的Web服务器。如果你没有它并且应用这个修复你的网站将不再可用
上一篇:未设置X-XSS-Protect
下一篇:未设置Referrer-Poli
