Una descripción detallada
Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效。 当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 头时,浏览器将持续使用 HTTPS 来访问 Web 站点,可以用来对抗协议降级攻击和 Cookie 劫持攻击。
Sus valores opcionales son: max-age=SECONDS, lo que significa que este comando tendrá efecto en el futuro includeSubDomains, que se puede usar para especificar si tiene efecto en los subdominios Peligro de vulnerabilidad: el servidor web carece de Strict-Transport- Security , lo que invalidará las características de seguridad proporcionadas por el navegador, haciéndolo más vulnerable a los ataques de piratas informáticos front-end web.
Solución
1) Modifique el programa del servidor y agregue Strict-Transport-Security al encabezado de respuesta HTTP. Si es un servidor Java, puede usar el siguiente método para agregar el encabezado de respuesta HTTP response.setHeader(“Strict-Transport-Security”, “valor”) Si es Para el servidor php, puede usar el siguiente método para agregar el encabezado del encabezado de respuesta HTTP (“Strict-Transport-Security: valor”) Si es el servidor ASP, puede usar el siguiente método para agregue el encabezado de respuesta HTTP Response.AddHeader "Strict-Transport-Security", "valor" Si es un servidor python django, puede usar el siguiente método para agregar un encabezado de respuesta HTTP respuesta = HttpResponse() respuesta [“Transporte estricto -Seguridad”] = “valor” Si se trata de un servidor matraz de python, puede utilizar el siguiente método para agregar una respuesta HTTP Encabezado de respuesta = make_response() respuesta.headers[“Strict-Transport-Security”] = “valor”;
2) Modifique el equilibrador de carga o el servidor proxy inverso, agregue Strict-Transport-Security al encabezado de respuesta HTTP si usa Nginx, Tengine, Openresty, etc. como servidor proxy, escriba el siguiente contenido en el archivo de configuración para agregar la respuesta HTTP header: add_header Strict-Transport-Security value; Si se utiliza Apache como servidor proxy, escriba el siguiente contenido en el archivo de configuración para agregar el encabezado de respuesta HTTP: Header add Strict-Transport-Security "value".
combate
Strict-Transport-Security:
referencia específica de includeSubDomains:
https://blog.csdn.net/lxyoucan/article/details/131725900
