检测到目标Strict-Transport-Security响应头缺失

已于 2023-07-14 19:29:37 修改
阅读量5.6k 收藏 2
点赞数 2
分类专栏: 网络安全 文章标签: 网络安全
于 2023-07-14 19:22:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxyoucan/article/details/131730185
版权

详细描述

Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效。 当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 头时,浏览器将持续使用 HTTPS 来访问 Web 站点,可以用来对抗协议降级攻击和 Cookie 劫持攻击。

其可选的值有: max-age=SECONDS,表示本次命令在未来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

解决办法

1)修改服务端程序,给 HTTP 响应头加上 Strict-Transport-Security 如果是 java 服务端,可以使用如下方式添加 HTTP 响应头 response.setHeader(“Strict-Transport-Security”, “value”) 如果是 php 服务端,可以使用如下方式添加 HTTP 响应头 header(“Strict-Transport-Security: value”) 如果是 asp 服务端,可以使用如下方式添加 HTTP 响应头 Response.AddHeader “Strict-Transport-Security”, “value” 如果是 python django 服务端,可以使用如下方式添加 HTTP 响应头 response = HttpResponse() response[“Strict-Transport-Security”] = “value” 如果是 python flask 服务端,可以使用如下方式添加 HTTP 响应头 response = make_response() response.headers[“Strict-Transport-Security”] = “value”;
2)修改负载均衡或反向代理服务器,给 HTTP 响应头加上 Strict-Transport-Security 如果使用 Nginx、Tengine、Openresty 等作为代理服务器,在配置文件中写入如下内容即可添加 HTTP 响应头: add_header Strict-Transport-Security value; 如果使用 Apache 作为代理服务器,在配置文件中写入如下内容即可添加 HTTP 响应头: Header add Strict-Transport-Security “value”。

实战

Strict-Transport-Security: includeSubDomains
具体的参考:
https://blog.csdn.net/lxyoucan/article/details/131725900

在这里插入图片描述

ITKEY_
关注
专栏目录
HSTS漏洞(缺少Strict-Transport-Security
墨痕诉清风的博客
05-17 1657
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标。理想回复响应因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应
【绿盟】检测目标Strict-Transport-Security响应缺失
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测目标URL存在客户端(JavaScript)Cookie引用 检测目标Strict-Transport-Security响应缺失 检测目标Referrer-Policy响应缺失 检测目标X-Permitted-Cross-Domain-Policies响应缺失 检测目标X-Download-Options响应缺失 点击劫持:X-Frame-Options未配置 ..
未设置Strict-Transport-Security响应【原理扫描】
tone1128的博客
07-12 1440
1.webconfig中添加响应
c# .net core中间件,生命周期
橙-极纪元-cplvfx-JJY.Cheng
07-18 1243
c# .net core中间件,生命周期
网站扫描出的漏洞解决:检测目标Content-Security-Policy、X-XSS-Protection/Content-Security-Policy响应缺失、加密算法等处理修复方法
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-17 6150
Content Security Policy (CSP) 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝,可以服务器添加 Content-Security-Policy 信息来指定规则解决。connect-src *会使安全进行升级,即一个http页面中所有调用的静态资源会自动升级使用https调用。但这样也会产生很多问题,如果调用的资源实际并不支持https的话,这时如果不是线上环境可以不理会,线上环境使用https就没有这样的问题了。
HTTP/Strict-Transport-Security在Linux Web服务器上的配置
最新发布
weixin_73725158的博客
09-05 635
HTTP Strict Transport Security(HSTS)是一种安全功能,旨在增强Web通信的安全性,通过强制客户端(主要是浏览器)仅通过HTTPS与服务器建立连接,从而有效防止中间人攻击和数据泄露。通过以上步骤,你可以在Linux Web服务器上成功配置HSTS,从而增强你的网站安全性,保护用户数据免受中间人攻击和其他安全威胁。这行代码的作用是告诉浏览器在接下来的两年(63072000秒)内,仅通过HTTPS与你的网站通信,并且这个规则适用于所有子域名。或你的网站特定的配置文件。
clickjacking(点击劫持)、请求的响应中缺少 Strict-Transport-Security
nly19900820的博客
08-25 528
检测目标X-Permitted-Cross-Domain-Policies响应缺失。// 请求的响应中缺少 Strict-Transport-Security检测目标Strict-Transport-Security响应缺失。设置统一过滤器,过滤所有请求,设置以上响应,即可解决问题。检测目标X-Download-Options响应缺失检测目标Referrer-Policy响应缺失。点击劫持:X-Frame-Options未配置。项目安全扫描,扫到以下问题。
安全修复之Web——HTTP Strict-Transport-Security缺失
小小关的博客
06-29 1586
日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 系统:windows10 语言:Golang golang版本:1.18 内容 安全预警 HTTP Strict-Transport-Security缺失安全限定: HTTP Strict-Transport-Security 可以
【已解决】IIS环境检测到网站存在响应缺失、禁用Options方法、解决跨域攻击等不安全
wangjunlei的专栏
04-16 1837
4、检测目标X-Permitted-Cross-Domain-Policies响应缺失 重新配置IIS。5、检测目标Strict-Transport-Security响应缺失 重新配置IIS。3、检测目标Content-Security-Policy响应缺失 IIS设置。1、检测目标X-Content-Type-Options响应缺失。6、点击劫持:X-Frame-Options未配置 重新配置IIS。2、检测目标X-XSS-Protection响应缺失
nginx漏扫出现问题及解决方法
wwppp987的博客
06-11 4140
如果需要找的漏扫问题,可以在评论区发言,我看到就会回复。 检测目标X-Content-Type-Options响应缺失 add_header 'Referrer-Policy' 'origin'; 检测到错误页面web应用服务器版本信息泄露 修改404页面及500页面,不要出现apache、nginx等字样 检测目标Referrer-Policy响应缺失 add_header 'Referrer-Policy' 'origin'; 检测目标X-XSS-Protection响应缺失 add_
Web低危漏洞之HTTP Strict-Transport-Security缺失的处理
热门推荐
weixin_42715225的博客
09-10 1万+
前言 … … 漏洞呈现 解决 Web服务器nginx(因这里采取的是nginx服务器)的server段添加如下内容 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 示例 ... ... server { add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; prel
https:将PSR-15中间件重定向到https并添加Strict-Transport-Security
02-17
中间件/ https 如果请求为http ,则中间件将重定向到https ,并添加标以防止协议降级攻击和cookie劫持。 要求 PHP> = 7.2 安装 该软件包可通过Composer作为安装和自动加载。 composer require middlewares/https 例子 $ dispatcher = new Dispatcher ([ ( new Middlewares \ Https ()) -> includeSubdomains () ]); $ response = $ dispatcher -> dispatch ( new ServerRequest ()); 用法 该中间件接受Psr\Http\Message\ResponseFactoryInterface作为构造函数参数,以创建重定向响应。 如果未定义,将使用进行自动检测。 $ response
nginx-http-hsts:Nginx 模块添加适当的 Strict-Transport-Security
05-30
nginx HSTS 模块 ngx_http_hsts 模块为 nginx 中的 HTTP 严格传输安全提供支持。 依赖关系 nginx 1.xx 的来源及其依赖项。 建造 解压 nginx_ 源代码: $ tar zxvf nginx-1.x.x.tar.gz 解压缩摘要模块的源代码: $ unzip master.zip 切换到包含 nginx_ 源的目录,使用所需的选项运行配置脚本,并确保放置一个--add-module标志指向包含摘要模块源的目录: $ cd nginx-1.x.x $ ./configure --add-module=../nginx-http-hsts-master [other configure options] 构建并安装软件: $ make && sudo make install 使用模块的配置配置nginx。 例子 您可以通过将以下行添加到
nginx Strict-Transport-Security响应缺失
05-10
如果nginx服务器缺少Strict-Transport-Security(STS)响应,则可能存在安全风险,因为这可以防止中间人攻击(MITM)和SSL剥离攻击。 要添加STS响应,请在nginx配置文件中添加以下行: ``` add_header Strict-...
Strict-Transport-Security响应缺失
05-10
Strict-Transport-Security (STS) 是一个HTTP响应,用于告知浏览器在与您的网站通信时只使用HTTPS加密连接。如果您的网站缺少STS响应,则可能存在安全风险,因为攻击者可以使用中间人攻击来窃取用户的敏感信息。...
关于nginx HTTP安全响应问题
A_991128a的博客
03-02 2066
一、背景二、http基本安全配置2.1 host攻击漏洞2.2 http method 请求方式攻击漏洞2.3 点劫持漏洞(X-Frame-Options)2.4 X-Download-Options响应缺失2.5 Content-Security-Policy响应缺失2.6 Strict-Transport-Security响应缺失2.7 X-Permitted-Cross-Domain-Policies响应缺失2.8 Referrer-Policy响应缺失
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值