Missing HTTP Strict-Transport-Security Header (HSTS) 解决

最新推荐文章于 2024-04-20 10:29:21 发布
最新推荐文章于 2024-04-20 10:29:21 发布
阅读量4.6k 收藏 3
点赞数
文章标签: java 运维 javascript ViewUI
原文链接:http://www.cnblogs.com/start-fxw/p/9511510.html
版权 
HSTS简介

HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。
采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。
server {
    listen 443 ssl;
    server_name www.xx.com;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

 

参考:
https://www.nginx.com/blog/http-strict-transport-security-hsts-and-nginx/

http://www.sohu.com/a/146282947_760387

 

转载于:https://www.cnblogs.com/start-fxw/p/9511510.html

weixin_33796177
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试web未设置httpStrict Transport Security
墨痕诉清风的博客
10-26 8871
HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。HSTS响应头格式preload]max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过HTTPS协议来访问。也就是对于这个网站的HTTP地址,浏览器需要先在本地替换为HTTPS之后再发送请求。...
nginx-http-hsts:Nginx 模块添加适当的 Strict-Transport-Security 标头
05-30
nginx HSTS 模块 ngx_http_hsts 模块为 nginx 中的 HTTP 严格传输安全提供支持。 依赖关系 nginx 1.xx 的来源及其依赖项。 建造 解压 nginx_ 源代码: $ tar zxvf nginx-1.x.x.tar.gz 解压缩摘要模块的源代码: $ ...
HTTP Strict Transport Security (通常简称为HSTS)
双眸
01-28 6312
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。 Freebuf百科:什么是Strict-Transport-Security? 一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://foo.com...
HTTP 安全响应头(Security Response header)配置手册
sysin | SYStem INside
12-09 8924
HTTP 安全响应头(Security Response header)配置手册
关于nginx HTTP安全响应问题
liwan09的博客
04-20 8247
攻击者利用透明的、不可见的iframe,覆盖在一个网页上,此时用户在不知情的情况下点击了这个透明的iframe页面。X-Content-Type-Options 响应头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。web浏览器在响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
let's encrypt部署免费泛域名证书
dianzhanxing8021的博客
01-07 1376
环境说明 [root@localhost ~]# cat /etc/redhat-release CentOS Linux release 7.5.1804 (Core) [root@localhost ~]# uname -r 3.10.0-862.11.6.el7.x86_64 安装 此处使用yum安装certbot #certbot 包在epel源中,所以此处需要先安装epe...
Miss HSTS header in checkmarx
songcode的专栏
09-03 1535
按照Owasp的推荐设置 header 后依然无法通过checkmarx SAST scan.无奈只能acknowledge. 后续更新细节。
Not injecting HSTS header since it did not match the requestMatcher HSTS设置问题解决
了迹奇有没
08-26 6290
HSTS请求设置 错误描述:在使用文件上传功能时,form表单提交带有header数据的请求时遇到这个问题,报错如下: Not injecting HSTS header since it did not match the requestMatcher org.springframework.security.web.header.writers.HstsHeaderWriter$SecureRequestMatcher@79cc14a4 [DEBUG] 2021-08-26 14:04:27.3
AppScan扫描.NET站点漏洞及修复
测试0901-1
03-15 804
刚处理完App安全问题,安全扫描方又反馈来一个Web安全漏洞报告,所幸这次不只是一个人解决~ AppScan.itlao5.com 漏洞扫描用的是IBM的AppScan,下午主要修复下面几个低危漏洞: 一、Autocomplete HTML Attribute Not Disabled for Password Field 描述: 允许浏览...
检测到目标Strict-Transport-Security响应头缺失
lxyoucan的博客
07-14 3649
其可选的值有: max-age=SECONDS,表示本次命令在未来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
安全漏洞修复帖
weixin_45067120的博客
03-09 1583
整理系统遇到的安全漏洞
https:将PSR-15中间件重定向到https并添加Strict-Transport-Security标头
02-17
如果请求为http ,则中间件将重定向到https ,并添加标头以防止协议降级攻击和cookie劫持。 要求 PHP> = 7.2 安装 该软件包可通过Composer作为安装和自动加载。 composer require middlewares/https 例子 $ ...
Laravel开发-strict-transport-security
08-28
Laravel开发-strict-transport-security 设置hsts头以启用HTTP严格传输安全性
Referrer-Policy : strict-origin-when-cross-origin解决方案
06-05
前后端联调跨域问题
nodemailer-postmark-transport:Nodemailer的邮戳传输
05-03
Nodemailer邮戳运输 Nodemailer的邮戳传输。...'use strict' ; const nodemailer = require ( 'nodemailer' ) ; const postmarkTransport = require ( 'nodemailer-postmark-transport' ) ; const transp
【1524】java投票管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目
qq_251836457的博客
04-18 658
2、开发环境为TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql5.0,使用java语言开发。(5)投票选项管理:对投票选项信息进行添加、删除、修改和查看。(6)投票记录管理:对投票记录信息进行添加、删除、修改和查看。(1)管理员管理:对管理员信息进行添加、删除、修改和查看。(2)用户管理:对用户信息进行添加、删除、修改和查看。(3)公告管理:对公告信息进行添加、删除、修改和查看。(4)投票管理:对投票信息进行添加、删除、修改和查看。4)投票浏览查看、查看投票、投票记录。
2.8 构建gradle环境
蚊者逆袭的博客
04-18 2160
Gradle是一种现代化的构建工具,用于自动化地构建、测试和部署软件项目。它是一种基于JVM(Java虚拟机)的构建工具,最初是为了解决Apache Ant和Apache Maven等传统构建工具的一些限制而开发的。
Web前端 Javascript笔记5
cycyzh的博客
04-18 849
script>'console.log("哈哈哈佳人们好困")'}, 3000)​let t1 = setTimeout('console.log("你们看到这句话的时候我早已身价百万!!")', 4000)​</script>3秒,四秒后出来的东西,出现前会返回计时器编号。
JUC(java.util.concurrent) 的常见类
最新发布
weixin_43497876的博客
04-20 1173
Callable 是一个 interface(类似之前的 Runnable,用来描述一个任务,但是没有返回值)也是描述一个任务的,有返回值。方便程序猿借助多线程的方式计算结果.创建线程计算 1 + 2 + 3 + ... + 1000, 不使用 Callable。
springmvc配置HTTP Strict-Transport-Security
05-10
要在Spring MVC应用程序中启用HTTP Strict-Transport-Security (HSTS),可以按照以下步骤进行配置: 1. 在Web应用程序的Web.xml文件中添加以下过滤器: ```xml <filter> <filter-name>Strict-Transport-Security</filter-name> <filter-class>org.apache.catalina.filters.StrictTransportSecurityFilter</filter-class> <init-param> <param-name>stsMaxAgeSeconds</param-name> <param-value>31536000</param-value> </init-param> </filter> <filter-mapping> <filter-name>Strict-Transport-Security</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping> ``` 2. 在Spring MVC的配置文件中添加以下bean: ```xml <bean class="org.springframework.security.web.header.writers.HstsHeaderWriter"> <constructor-arg value="max-age=31536000; includeSubDomains"/> </bean> ``` 这将为响应添加Strict-Transport-Security头。 max-age参数指定了HSTS应该在客户端缓存中保留多长时间,并且includeSubDomains指定了子域也应该强制使用HTTPS。 3. 配置HTTPS连接,Spring MVC应用程序必须在HTTPS上运行,才能启用HSTS。可以通过以下方式之一实现: - 通过在Web服务器或代理服务器上配置HTTPS。 - 在Spring MVC应用程序中使用自签名证书来启用HTTPS。 - 通过使用第三方SSL证书来启用HTTPS。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值