偵測到 HTTP 嚴格傳輸安全性原則

info Web App Scanning Plugin ID 112535

語系：

概要

偵測到 HTTP 嚴格傳輸安全性原則

說明

HTTP 嚴格傳輸安全性 (HSTS) 是可選的回應標頭，可在伺服器上設定，指示瀏覽器僅透過 HTTPS 通訊。

可使用下列設定定義 HSTS 原則：

- max-age：瀏覽器應記住只能以 HTTPS 存取網站的時間 (以秒為單位)。

- includeSubDomains (選用)：如果已指定此屬性，則原則會套用至所有目前的網站子網域。

- 預先載入 (選用)：Google 會維護已編譯的網域清單，此清單在某些瀏覽器中會直接發佈，以強制執行 HTTPS 而不檢查 HSTS HTTP 標頭。由於網域提交處理程序是公開的，因此在提交網域進行預先載入時，會使用 preload 屬性作為驗證。

掃描程式在目標應用程式上偵測到 HSTS 原則。

另請參閱

https://hstspreload.org/

https://tools.ietf.org/html/rfc6797

https://www.chromium.org/hsts

https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet

Plugin 詳細資訊

嚴重性: Info

ID: 112535

類型: remote

系列: HTTP Security Header

已發布: 2020/7/27

已更新: 2024/3/25

掃描範本: api, basic, config_audit, full, overview, pci, quick, scan