检测到 HTTP 严格传输安全策略

info Web App Scanning 插件 ID 112535

语言：

简介

检测到 HTTP 严格传输安全策略

描述

HTTP 严格传输安全 (HSTS) 是可选的响应头，可以在服务器上进行配置，用于指导浏览器仅通过 HTTPS 进行通信。

可以使用以下设置定义 HSTS 策略：

- max-age：浏览器应当记住的站点只能通过 HTTPS 访问的时长（以秒为单位）。

- includeSubDomains（可选）：如果指定了此属性，则该策略适用于所有当前站点子域。

- preload（可选）：Google 维护了一个编译的域列表，该列表直接分发在某些浏览器中，以在不检查 HSTS HTTP 标头的情况下强制执行 HTTPS。由于域提交过程是公开的，因此在提交域以进行预加载时，preload 属性将被用作验证机制。

扫描程序在目标应用程序上检测到 HSTS 策略。

另见

https://hstspreload.org/

https://tools.ietf.org/html/rfc6797

https://www.chromium.org/hsts

https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet

插件详情

严重性: Info

ID: 112535

类型: remote

系列: HTTP Security Header

发布时间: 2020/7/27

最近更新时间: 2024/3/25

扫描模板: api, basic, config_audit, full, overview, pci, quick, scan