Web低危漏洞之HTTP Strict-Transport-Security缺失的处理

最新推荐文章于 2025-06-02 15:17:21 发布

原创最新推荐文章于 2025-06-02 15:17:21 发布 · 1.9w 阅读

18 ·

CC 4.0 BY-SA版权

文章标签：

#html

security 专栏收录该内容

7 篇文章

订阅专栏

本文介绍如何通过在Web服务器nginx中配置HSTS（HTTP Strict Transport Security）策略来增强网站的安全性，防止中间人攻击，确保数据传输的加密过程不被破坏。

该文章已生成可运行项目，

前言

… …

漏洞呈现

在这里插入图片描述

解决

Web服务器nginx(因这里采取的是nginx服务器)的server段添加如下内容

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

示例

... ...
    server {
        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";    
... ...

结语

… …

本文章已经生成可运行项目

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

devops_sre

关注关注

7
点赞
踩
18

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

HSTS漏洞（缺少Strict-Transport-Security头）

墨痕诉清风的博客

05-17

3864

HTTP严格传输安全性（HSTS）告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性（HSTS），因为响应中缺少严格传输安全性标头。理想回复响应头因存在：Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。

安全修复之Web——HTTP Strict-Transport-Security缺失

CN華少的博客

04-30

3179

安全修复之Web——HTTP Strict-Transport-Security缺失背景日常我们开发时，会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o)，这个常见问题系列就是我日常遇到的一些问题的记录文章系列，这里整理汇总后分享给大家，让其还在深坑中的小伙伴有绳索能爬出来。同时在这里也欢迎大家把自己遇到的问题留言或私信给我，我看看其能否给大家解决。开发环境系统：windows10 ...

参与评论您还未登录，请先登录后发表或查看评论

HTTP 响应头 Strict-Transport-Security 缺失漏洞

itScholar001的博客

04-03

1430

这个漏洞就是说明网站的HTTP响应头中没有设置Strict-Transport-Security，没有设置则可以通过将https自己手动改成htttp的方式进行访问。HTTP 响应头 Strict-Transport-Security 缺失漏洞。如果此时你用http去访问的话则会报403 forbidden错误。http去访问的话则会报403 forbidden错误。添加了这个之后请求的响应头就会有这一段。2.手动在代码中设置。

检测到目标Strict-Transport-Security响应头缺失

lxyoucan的博客

07-14

7290

其可选的值有： max-age=SECONDS，表示本次命令在未来的生效时间 includeSubDomains，可以用来指定是否对子域名生效漏洞危害： Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security，这将导致浏览器提供的安全特性失效，更容易遭受 Web 前端黑客攻击的影响。

【绿盟】检测到目标Strict-Transport-Security响应头缺失

热门推荐

这把躺赢

10-22

1万+

1.问题展示项目安全扫描，扫到以下问题。检测到目标URL存在客户端（JavaScript）Cookie引用检测到目标Strict-Transport-Security响应头缺失检测到目标Referrer-Policy响应头缺失检测到目标X-Permitted-Cross-Domain-Policies响应头缺失检测到目标X-Download-Options响应头缺失点击劫持：X-Frame-Options未配置 ..

未设置Strict-Transport-Security响应头【原理扫描】

tone1128的博客

07-12

1979

1.webconfig中添加响应头。

X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复

cc123489ll的博客

05-31

580

点击劫持（用户界面矫正攻击、UI 矫正攻击、UI 矫正）是一种恶意技术，诱使 Web 用户点击与用户认为其单击的内容不同的内容，从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制。服务器未返回 X-Frame-Options 报头，这意味着此网站存在遭受点击劫持攻击的风险。响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。影响影响取决于受影响的 Web 应用程序。

网站低危漏洞通过伪静态功能处理方法

wwwwestcn的博客

07-12

356

-检测到目标X-Permitted-Cross-Domain-Policies响应头缺失-->--检测到目标Strict-Transport-Security响应头缺失-->--检测到目标Content-Security-Policy响应头缺失-->--检测到目标X-Content-Type-Options响应头缺失-->--检测到目标X-Download-Options响应头缺失-->--检测到目标X-XSS-Protection响应头缺失-->--点击劫持：X-Frame-Options未配置-->

nginx-http-hsts:Nginx 模块添加适当的 Strict-Transport-Security 标头

05-30

nginx HSTS 模块 ngx_http_hsts 模块为 nginx 中的 HTTP 严格传输安全提供支持。依赖关系 nginx 1.xx 的来源及其依赖项。建造解压 nginx_ 源代码： $ tar zxvf nginx-1.x.x.tar.gz 解压缩摘要模块的源代码： $ unzip master.zip 切换到包含 nginx_ 源的目录，使用所需的选项运行配置脚本，并确保放置一个--add-module标志指向包含摘要模块源的目录： $ cd nginx-1.x.x $ ./configure --add-module=../nginx-http-hsts-master [other configure options] 构建并安装软件： $ make && sudo make install 使用模块的配置配置nginx。例子您可以通过将以下行添加到

HSTS 网站http跳转到https

乌云大帝的博客

11-05

3374

HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能，它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 作用一个网站接受一个HTTP的请求，然后跳转到HTTPS，用户可能在

HTTP Strict Transport Security (HSTS) in ASP.NET Core

dotNET跨平台

01-10

1094

本文是《2020年了，再不会HTTPS就老了》的后篇，本文着重聊一聊HTTP Strict Transport Security协议的概念和应用。启用 HTTPS 还不够安全 ...

clickjacking(点击劫持)、请求的响应头中缺少 Strict-Transport-Security

nly19900820的博客

08-25

746

检测到目标X-Permitted-Cross-Domain-Policies响应头缺失。// 请求的响应头中缺少 Strict-Transport-Security。检测到目标Strict-Transport-Security响应头缺失。设置统一过滤器，过滤所有请求，设置以上响应头，即可解决问题。检测到目标X-Download-Options响应头缺失。检测到目标Referrer-Policy响应头缺失。点击劫持：X-Frame-Options未配置。项目安全扫描，扫到以下问题。

HTTP Strict Transport Security

Karl's blog!

01-31

6900

它的作用是，对某些站点，当用户在浏览器输入不带协议的网址的时候，自动识别协议为https，而不是http。例如用户输入paypal.com，浏览器会自动访问https://paypal.com，而不是http://paypal.com。当然，即使你的浏览器不支持HSTS，paypal也会自动跳转到https。那么如何让自己的站点支持HSTS呢？只要在自己的站点的HTTPS响应的HT

HTTP Strict Transport Security(HSTS)

thlzjfefe的博客

01-26

494

【代码】HTTP Strict Transport Security。

HTTP/Strict-Transport-Security在Linux Web服务器上的配置

weixin_73725158的博客

09-05

1130

HTTP Strict Transport Security（HSTS）是一种安全功能，旨在增强Web通信的安全性，通过强制客户端（主要是浏览器）仅通过HTTPS与服务器建立连接，从而有效防止中间人攻击和数据泄露。通过以上步骤，你可以在Linux Web服务器上成功配置HSTS，从而增强你的网站安全性，保护用户数据免受中间人攻击和其他安全威胁。这行代码的作用是告诉浏览器在接下来的两年（63072000秒）内，仅通过HTTPS与你的网站通信，并且这个规则适用于所有子域名。或你的网站特定的配置文件。

HTTP Strict Transport Security (通常简称为HSTS)

双眸

01-28

8293

HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能，它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。 Freebuf百科：什么是Strict-Transport-Security? 一个网站接受一个HTTP的请求，然后跳转到HTTPS，用户可能在开始跳转前，通过没有加密的方式和服务器对话，比如，用户输入http://foo.com...

webfuture：提示“Strict-Transport-Security头未设置”漏洞的解决方法