HTTP 响应头 Strict-Transport-Security 缺失漏洞

于 2025-04-03 10:59:31 发布
阅读量703 收藏 2
点赞数 3
分类专栏: java 文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itScholar001/article/details/146976172
版权

HTTP 响应头 Strict-Transport-Security 缺失漏洞

这个漏洞就是说明网站的HTTP响应头中没有设置Strict-Transport-Security,没有设置则可以通过将https自己手动改成htttp的方式进行访问。不安全
解决方法
1.nginx配置
nginx中增加如下配置:
location / {

add_header Strict-Transport-Security “max-age=63072000;
includeSubdomains; preload”;

2.手动在代码中设置
@Log4j2
@Component
public class TestInterceptor implements HandlerInterceptor {

@Override
public boolean preHandle(HttpServletRequest request,
                         HttpServletResponse response, Object handler) {

        response.addHeader("Strict-Transport-Security", "max-age=31536000; includeSubDomains; preload");
                         }

}

添加了这个之后请求的响应头就会有这一段
2025-03-25-16-15-00
如果此时你用http去访问的话则会报403 forbidden错误
http去访问的话则会报403 forbidden错误

HSTS漏洞(缺少Strict-Transport-Security头)
墨痕诉清风的博客
05-17 3255
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标头。理想回复响应头因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应头
服务器HTTP响应头安全性优化与漏洞修复方案
Bertram的博客
08-09 1091
服务器HTTP响应头安全性优化与漏洞修复方案
HTTP 安全响应头Security Response header)配置
qq_42445433的博客
08-11 5002
HTTP 安全响应头Security Response header)配置
Strict-Transport-Security(HSTS)& X-Frame-Options & X-XSS-Protection
weixin_42451330的博客
06-12 976
本文对Strict-Transport-Security(HSTS)& X-Frame-Options & X-XSS-Protection 进行了介绍,列举了常用指令及示例。
HSTS 网站http跳转到https
乌云大帝的博客
11-05 3100
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 作用 一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在
检测到目标Strict-Transport-Security响应头缺失
lxyoucan的博客
07-14 7046
其可选的值有: max-age=SECONDS,表示本次命令在未来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
【绿盟】检测到目标Strict-Transport-Security响应头缺失
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测到目标URL存在客户端(JavaScript)Cookie引用 检测到目标Strict-Transport-Security响应头缺失 检测到目标Referrer-Policy响应头缺失 检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 检测到目标X-Download-Options响应头缺失 点击劫持:X-Frame-Options未配置 ..
安全修复之Web——HTTP Strict-Transport-Security缺失
小小关的博客
06-29 1823
日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 系统:windows10 语言:Golang golang版本:1.18 内容 安全预警 HTTP Strict-Transport-Security缺失安全限定: HTTP Strict-Transport-Security 可以
nginx-http-hsts:Nginx 模块添加适当的 Strict-Transport-Security 标头
05-30
nginx HSTS 模块 ngx_http_hsts 模块为 nginx 中的 HTTP 严格传输安全提供支持。 依赖关系 nginx 1.xx 的来源及其依赖项。 建造 解压 nginx_ 源代码: $ tar zxvf nginx-1.x.x.tar.gz 解压缩摘要模块的源代码: $ unzip master.zip 切换到包含 nginx_ 源的目录,使用所需的选项运行配置脚本,并确保放置一个--add-module标志指向包含摘要模块源的目录: $ cd nginx-1.x.x $ ./configure --add-module=../nginx-http-hsts-master [other configure options] 构建并安装软件: $ make && sudo make install 使用模块的配置配置nginx。 例子 您可以通过将以下行添加到
未设置Strict-Transport-Security响应头【原理扫描】
tone1128的博客
07-12 1838
1.webconfig中添加响应头
Tomcat添加各种响应头 X-Download-Options、Permissions-Policy等
最新发布
一起学习一起进步~
12-11 849
最近部署的项目被绿盟扫出来很多web漏洞,其中tomcat响应占了很大一部分。将打好的 jar 包放到 tomcat 的 lib 文件夹下面,直接拷进去就行,不用做任何操作!接着修改tomcat的 web.xml 文件,注意:是tomcat的!但剩下的响应头就没办法使用简单的配置搞定了,需要进行一些简单的代码协助。重启tomcat,访问页面,就可以看到所有响应添加成功!这个代码中的web.xml不用管,使用默认生成的!404.html可以不要,那是我写着玩的。之后打包,注意:这里是。
nginx漏扫响应头缺失
挣扎技术
03-04 1万+
一、漏扫出现问题 检测到目标X-Content-Type-Options响应头缺失 add_header 'Referrer-Policy' 'origin'; 检测到错误页面web应用服务器版本信息泄露 修改404页面及500页面,不要出现apache、nginx等字样 检测到目标Referrer-Policy响应头缺失 add_header 'Referrer-Policy' 'origin'; 检测到目标X-XSS-Protection响应头缺失 add_header X-Xss-he
Nginx HttpHeader增加几个关键的安全选项
weixin_55010563的博客
12-07 382
针对像德勤这样的专业渗透测试(Pentest)的场景中,为了确保网站的安全性并通过严格的安全审查,需要为这些安全头配置更细致、专业的参数。frame-ancestors 'none':防止网站被嵌入到 iframe 中,防止点击劫持攻击。img-src 'self' data::仅允许加载本域的图片和 Base64 内嵌的图片。form-action 'self':只允许表单提交到本站,防止 CSRF 攻击。script-src 'self':仅允许加载本域的脚本。
如何在Nginx中配置HTTP安全响应头
等风也等你的博客
05-09 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Web低危漏洞HTTP Strict-Transport-Security缺失的处理
热门推荐
weixin_42715225的博客
09-10 1万+
前言 … … 漏洞呈现 解决 Web服务器nginx(因这里采取的是nginx服务器)的server段添加如下内容 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 示例 ... ... server { add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; prel
clickjacking(点击劫持)、请求的响应头中缺少 Strict-Transport-Security
nly19900820的博客
08-25 605
检测到目标X-Permitted-Cross-Domain-Policies响应头缺失。// 请求的响应头中缺少 Strict-Transport-Security。检测到目标Strict-Transport-Security响应头缺失。设置统一过滤器,过滤所有请求,设置以上响应头,即可解决问题。检测到目标X-Download-Options响应头缺失。检测到目标Referrer-Policy响应头缺失。点击劫持:X-Frame-Options未配置。项目安全扫描,扫到以下问题。
tomcat设置Strict-Transport-Security响应头
05-12
要在Tomcat中设置Strict-Transport-Security响应头,可以按照以下步骤进行操作: 1. 打开Tomcat的配置文件,即server.xml文件。 2. 找到Connector元素,通常它会在文件的顶部或底部。 3. 在Connector元素内添加以下属性: <Connector ... other attributes ... secure="true" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" compression="on" compressionMinSize="2048" noCompressionUserAgents="gozilla, traviata" compressableMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript"> <!-- 添加下面这行代码以启用Strict-Transport-Security --> <Valve className="org.apache.catalina.valves.RemoteIpValve" remoteIpHeader="x-forwarded-for" remoteIpProxiesHeader="x-forwarded-by" protocolHeader="x-forwarded-proto" protocolHeaderHttpsValue="https" /> 4. 保存并关闭server.xml文件。 5. 重新启动Tomcat服务器。 现在,当你使用HTTPS协议访问Tomcat服务器时,就会自动添加Strict-Transport-Security响应头了。注意,这个响应头将会被浏览器缓存,所以一旦启用,就会一直生效。如果你要禁用Strict-Transport-Security,需要等待响应头的缓存过期,或者手动清除浏览器的缓存。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值