修復:參考(六)
六、Missing or insecure HTTP Strict-Transport-Security Header
描述:
用來配置瀏覽器和服務器之間安全的通信,它主要是用來防止中間人攻擊,因爲它強制所有的通信都走TLS;此設置在https中才有效
max-age=31536000 – 告訴瀏覽器將域名緩存到STS list裏面,時間是一年。
max-age=31536000; includeSubDomains – 告訴瀏覽器將域名緩存到STS list裏面並且包含所有的子域名,時間是一年。
max-age=0 – 告訴瀏覽器移除在STS緩存裏的域名,或者不保存此域名。
修復:
在站點的web.config配置文件中添加如下響應頭
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Content-Type-Options" value="nosniff"/>
<add name="X-XSS-Protection" value="1;mode=block"/>
<!--add name="X-Frame-Options" value="SAMEORIGIN"/-->
<add name="Content-Security-Policy" value="default-src 'self'"/>
<add name="Strict-Transport-Security" value="max-age=63072000"/>
</customHeaders>
</httpProtocol>
</system.webServer>
沒有留言:
張貼留言