2020年6月9日 星期二

Missing or insecure HTTP Strict-Transport-Security Header

https://www.twblogs.net/a/5c8c9006bd9eee35fc14f806

修復:參考(六)

六、Missing or insecure HTTP Strict-Transport-Security Header

描述:
用來配置瀏覽器和服務器之間安全的通信,它主要是用來防止中間人攻擊,因爲它強制所有的通信都走TLS;此設置在https中才有效
max-age=31536000 – 告訴瀏覽器將域名緩存到STS list裏面,時間是一年。  
max-age=31536000; includeSubDomains – 告訴瀏覽器將域名緩存到STS list裏面並且包含所有的子域名,時間是一年。  
max-age=0 – 告訴瀏覽器移除在STS緩存裏的域名,或者不保存此域名。
修復:
在站點的web.config配置文件中添加如下響應頭
<system.webServer>
  <httpProtocol> 
    <customHeaders>
      <add name="X-Content-Type-Options" value="nosniff"/>
      <add name="X-XSS-Protection" value="1;mode=block"/>
      <!--add name="X-Frame-Options" value="SAMEORIGIN"/-->
      <add name="Content-Security-Policy" value="default-src 'self'"/>
      <add name="Strict-Transport-Security" value="max-age=63072000"/>
    </customHeaders>
  </httpProtocol>
</system.webServer>

沒有留言:

張貼留言