安全修复之Web——HTTP Strict-Transport-Security缺失

最新推荐文章于 2025-10-12 12:25:24 发布

原创

最新推荐文章于 2025-10-12 12:25:24 发布 · 3.1k 阅读

5 ·

CC 4.0 BY-SA版权

https://creativecommons.org/licenses/by-nc/4.0/

文章标签：

#java #nginx #linux #web #安全

本文介绍了HTTPStrict-Transport-Security（HSTS）安全头的用途，它强制浏览器仅通过HTTPS访问网站，防止中间人攻击。针对Golang开发环境，提供了解决缺少此安全头的方法，即在nginx配置中添加HSTS指令。同时，文章呼吁读者分享自己遇到的技术问题，共同学习进步。

安全修复之Web——HTTP Strict-Transport-Security缺失

背景

日常我们开发时，会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o)，这个常见问题系列就是我日常遇到的一些问题的记录文章系列，这里整理汇总后分享给大家，让其还在深坑中的小伙伴有绳索能爬出来。
同时在这里也欢迎大家把自己遇到的问题留言或私信给我，我看看其能否给大家解决。

开发环境

系统：windows10
语言：Golang
golang版本：1.18

内容

安全预警

HTTP Strict-Transport-Security缺失

安全限定：

HTTP Strict-Transport-Security 可以限定浏览器只能通过HTTPS访问当前资源，禁止HTTP方式。

启用方式：

nginx中增加如下配置：

location / {
        ...
        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        ...
}

本文声明：

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

CN華少

关注关注

0
点赞
踩
5

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

HSTS漏洞（缺少Strict-Transport-Security头）

墨痕诉清风的博客

05-17

3796

HTTP严格传输安全性（HSTS）告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性（HSTS），因为响应中缺少严格传输安全性标头。理想回复响应头因存在：Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。

Nginx等保2.0策略配置

Anwen的博客

03-21

1159

Nginx 等保2.0 安全加固

参与评论您还未登录，请先登录后发表或查看评论

漏洞修复启用了不安全的TLS1.0、TLS1.1协议

heike_Ch的博客

05-09

2262

default_server中才能生效，且其他server块都会读取default_server中的配置。TLS 1.0和TLS1.1协议使用了脆弱的加密算法，存在重大安全漏洞，容易受到降级攻击的严重影响。表示启用TLSv1.2 TLSv1.3 禁用其他TLS协议，注意此配置只能配置在http块或者。启用对TLS 1.2或1.3的支持，并禁用对TLS 1.0和TLS 1.1的支持。nginx修改配置文件。出现下图则表示禁用成功。出现下图则表示禁用失败。

从零构建安全Java服务，掌握这6种防护机制就够了

热门推荐

默默提升实验室

08-13

5万+

TLS1.0协议漏洞检测复现

检测到目标Strict-Transport-Security响应头缺失

lxyoucan的博客

07-14

7279

其可选的值有： max-age=SECONDS，表示本次命令在未来的生效时间 includeSubDomains，可以用来指定是否对子域名生效漏洞危害： Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security，这将导致浏览器提供的安全特性失效，更容易遭受 Web 前端黑客攻击的影响。

X-Frame-Options缺失导致点击劫持风险分析与防护

mode=block、Strict-Transport-Security 等，形成多层次的客户端防护体系。该类的设计体现了“安全左移”理念，即在应用层主动构建防御能力，而非依赖外部设备或网络策略。最后，`tomcat-juli-9.0.11.jar` 属于 ...

nignx漏洞

03-11

启用 HTTP Strict Transport Security （HSTS），可以通过强制浏览器只使用加密连接访问网站的方式提高安全性。具体实现可以在 Nginx 配置文件中增加以下指令： ```nginx add_header Strict-Transport-Security "max...

最全面、最详细web前端面试题及答案总结

HanXiaoXi_yeal的博客

02-01

3万+

2021最全面、最详细web前端面试题及答案总结总结不易，希望可以帮助到即将面试或还在学习中的web前端小伙伴，祝面试顺利，拿高薪！本章是HTML考点的⾮重难点，因此我们采⽤简略回答的⽅式进⾏撰写，所以不会有太多详细的解释。我们约定，每个问题后我们标记『✨ 』的为⾼频⾯试题 doctype的作⽤是什么？✨ DOCTYPE是html5标准⽹⻚声明，且必须声明在HTML⽂档的第⼀⾏。来告知浏览器的解析器⽤什么⽂档标准解析这个⽂档，不同的渲染模式会影响到浏览器对于 CSS 代码甚⾄ JavaScript

nginx-http-hsts:Nginx 模块添加适当的 Strict-Transport-Security 标头

05-30

nginx HSTS 模块 ngx_http_hsts 模块为 nginx 中的 HTTP 严格传输安全提供支持。依赖关系 nginx 1.xx 的来源及其依赖项。建造解压 nginx_ 源代码： $ tar zxvf nginx-1.x.x.tar.gz 解压缩摘要模块的源代码： $ unzip master.zip 切换到包含 nginx_ 源的目录，使用所需的选项运行配置脚本，并确保放置一个--add-module标志指向包含摘要模块源的目录： $ cd nginx-1.x.x $ ./configure --add-module=../nginx-http-hsts-master [other configure options] 构建并安装软件： $ make && sudo make install 使用模块的配置配置nginx。例子您可以通过将以下行添加到

漏洞修复：启用不安全的TLS1.0协议/TLS1.1协议

yjfkeifk的博客

02-10

1万+

摘要：针对IIS+ASP.NET网站的安全漏洞，通过修改注册表禁用TLS 1.0和1.1协议（设置DisabledByDefault=1和Enabled=0）。但需注意这可能导致SQL Server无法启动，需同时启用TLS 1.2协议（设置DisabledByDefault=0和Enabled=1）。该修复方案适用于绿盟和苔也扫描发现的漏洞，修改后需要重启服务器生效。（共150字）

安服小记·1-启用不安全的TLS1.0协议

杳若的博客

07-23

7563

安服漏洞漫谈

HTTP 响应头 Strict-Transport-Security 缺失漏洞

itScholar001的博客

04-03

1359

这个漏洞就是说明网站的HTTP响应头中没有设置Strict-Transport-Security，没有设置则可以通过将https自己手动改成htttp的方式进行访问。HTTP 响应头 Strict-Transport-Security 缺失漏洞。如果此时你用http去访问的话则会报403 forbidden错误。http去访问的话则会报403 forbidden错误。添加了这个之后请求的响应头就会有这一段。2.手动在代码中设置。

Web低危漏洞之HTTP Strict-Transport-Security缺失的处理

weixin_42715225的博客

09-10

1万+

前言 … … 漏洞呈现解决 Web服务器nginx(因这里采取的是nginx服务器)的server段添加如下内容 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 示例 ... ... server { add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; prel

【绿盟】检测到目标Strict-Transport-Security响应头缺失

这把躺赢

10-22

1万+

1.问题展示项目安全扫描，扫到以下问题。检测到目标URL存在客户端（JavaScript）Cookie引用检测到目标Strict-Transport-Security响应头缺失检测到目标Referrer-Policy响应头缺失检测到目标X-Permitted-Cross-Domain-Policies响应头缺失检测到目标X-Download-Options响应头缺失点击劫持：X-Frame-Options未配置 ..

web Strict-Transport-Security：max-age = 16070400;

09-24

<think> 嗯，用户想了解HSTS头中max-age=16070400的具体含义和作用。从问题表述看，用户应该已经对HSTS有一定基础认知，现在需要更精确的参数解读。注意到用户特别强调"含义和作用"，说明ta需要理论结合实际的解释。16070400这个数值比较特殊（正好是186天），可能需要拆解计算逻辑。用户引用的资料里提到过31536000（1年），这个对比很有价值。安全配置方面，用户提供的引用材料很全面（尤其是引用3和5），但max-age的取值依据在引用里没直接说明。需要补充说明这个时间设置的合理性：既不能太短（失去保护意义）也不宜过长（配置不可逆）。浏览器行为部分要重点解释"首次访问"这个脆弱点，用户可能忽略了HSTS需要首次安全连接的特性。引用2提到的协议降级攻击正好用来说明这个问题。配置建议部分，用户似乎更关注实践层面（引用4和5都是具体配置），但要注意避免重复引用内容。可以强调includeSubDomains和preload的关联配置，因为单独max-age的保护是不完整的。最后想到需要警示用户：16070400这个值接近6个月，属于中等时长。如果企业系统需要预加载列表，可能需要按标准调整为1年（31536000）。 </think> `Strict-Transport-Security`响应头中的`max-age=16070400`表示强制浏览器在**16070400秒（约186天）**内，对该站点及其子域名的所有访问**必须使用HTTPS**，其主要作用及技术细节如下： --- ### **一、max-age=16070400 的含义** 1. **时间单位** `max-age`的单位为秒，16070400秒 = 16070400 ÷ (24×3600) ≈ **186天**。 - **计算验证**：$ \frac{16070400}{24 \times 3600} = \frac{16070400}{86400} \approx 186 \text{ 天} $ 2. **作用时效** 浏览器在首次通过HTTPS访问该站点后，会在本地缓存此策略。在接下来的186天内： - 所有HTTP请求会被强制重定向到HTTPS（307 Internal Redirect）[^1][^3] - 即使用户手动输入`http://`，浏览器会自动替换为`https://`[^2][^5] --- ### **二、核心作用** 1. **强制HTTPS通信** 防止协议降级攻击（如SSL Stripping攻击），确保数据传输始终加密[^2][^4]。 2. **抵御中间人攻击（MitM）** 浏览器跳过HTTP请求环节，直接发起HTTPS连接，避免首次请求被劫持[^1][^5]。 3. **保护Cookie安全** 阻止通过未加密通道传输的Cookie被窃取（如会话劫持）[^2]。 --- ### **三、关键配置要求** | **配置项** | **说明** | |------------------|--------------------------------------------------------------------------| | **全站HTTPS** | 必须确保所有HTTP请求已重定向到HTTPS（否则首次访问仍不安全）[^3][^5] | | **混合内容处理** | 需解决页面内HTTP资源（如图片、脚本）导致的"混合内容"警告[^3] | | **SSL证书有效** | 证书需合法且配置正确，否则触发HSTS后浏览器会因证书错误阻止访问[^4] | --- ### **四、配置示例** #### **Nginx服务器配置** ```nginx add_header Strict-Transport-Security "max-age=16070400; includeSubDomains; preload"; ``` - `includeSubDomains`：策略应用于所有子域名 - `preload`：申请加入浏览器预加载列表（需主动提交）[^3][^4] #### **代码注入（Java示例）** ```java response.addHeader("Strict-Transport-Security", "max-age=16070400; includeSubDomains; preload"); ``` > ⚠️ **风险提示**： > 过长的`max-age`可能导致配置错误时无法回退。推荐初始值设为`max-age=300`（5分钟），测试无误后逐步增加时长[^3]。 --- ### **五、浏览器行为逻辑** ```mermaid graph LR A[用户首次访问] -->|输入 http://example.com | B[服务器重定向到HTTPS] B --> C[浏览器收到HSTS头] C --> D[缓存策略186天] D -->|后续访问| E[浏览器自动强制HTTPS] E -->|跳过HTTP请求| F[直接建立加密连接] ``` --- ### **六、相关问题** 1. 为什么HSTS需要`includeSubDomains`参数？如果子域名未启用HTTPS会有什么后果？ 2. 如何将网站提交到浏览器的HSTS预加载列表？该过程需要满足哪些条件[^3][^4]？ 3. 当HSTS策略生效期间服务器证书过期，用户会看到什么错误？如何避免这种情况[^5]？ [^1]: HTTP Strict-Transport-Security 强制HTTPS访问与重定向逻辑 [^2]: HSTS缺失导致协议降级攻击与Cookie劫持风险 [^3]: Strict-Transport-Security 推荐配置与部署前提条件 [^4]: Linux服务器配置HSTS头部的方法与安全机制 [^5]: 手动注入HSTS响应头的代码实现及风险控制