Web低危漏洞之HTTP Strict-Transport-Security缺失的处理

最新推荐文章于 2025-05-11 00:45:56 发布

devops_sre

最新推荐文章于 2025-05-11 00:45:56 发布

阅读量1.9w

点赞数 7

CC 4.0 BY-SA版权

分类专栏： security 文章标签： html

本文链接：https://blog.youkuaiyun.com/weixin_42715225/article/details/108520181

security 专栏收录该内容

7 篇文章

订阅专栏

本文介绍如何通过在Web服务器nginx中配置HSTS（HTTP Strict Transport Security）策略来增强网站的安全性，防止中间人攻击，确保数据传输的加密过程不被破坏。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

前言

… …

漏洞呈现

在这里插入图片描述

解决

Web服务器nginx(因这里采取的是nginx服务器)的server段添加如下内容

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

示例

... ...
    server {
        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";    
... ...

结语

… …

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

devops_sre

关注关注

7
点赞
踩
18

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

HSTS漏洞（缺少Strict-Transport-Security头）

墨痕诉清风的博客

05-17

3450

HTTP严格传输安全性（HSTS）告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性（HSTS），因为响应中缺少严格传输安全性标头。理想回复响应头因存在：Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。

渗透测试web未设置http头 Strict Transport Security

墨痕诉清风的博客

10-26

9517

HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本，不需要用户手动在URL地址栏中输入加密地址，以减少会话劫持风险。HSTS响应头格式preload]max-age，单位是秒，用来告诉浏览器在指定时间内，这个网站必须通过HTTPS协议来访问。也就是对于这个网站的HTTP地址，浏览器需要先在本地替换为HTTPS之后再发送请求。...

参与评论您还未登录，请先登录后发表或查看评论

安全修复之Web——HTTP Strict-Transport-Security缺失

小小关的博客

06-29

1843

日常我们开发时，会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o)，这个常见问题系列就是我日常遇到的一些问题的记录文章系列，这里整理汇总后分享给大家，让其还在深坑中的小伙伴有绳索能爬出来。同时在这里也欢迎大家把自己遇到的问题留言或私信给我，我看看其能否给大家解决。系统：windows10 语言：Golang golang版本：1.18 内容安全预警 HTTP Strict-Transport-Security缺失安全限定： HTTP Strict-Transport-Security 可以

HSTS详解：强制HTTPS的安全策略

爱的叹息的专栏

05-11

1539

HSTS（HTTP Strict Transport Security）是一种Web安全策略，通过响应头Strict-Transport-Security强制浏览器仅通过HTTPS访问网站，防止SSL剥离攻击。HSTS可通过Nginx等服务器配置，常用参数包括max-age（生效时间）、includeSubDomains（子域名生效）和preload（提交到浏览器预加载列表）。一旦设置，HSTS缓存无法立即清除，只能等待过期或用户手动清除。对于希望默认强制HTTPS的网站，可提交到HSTS Preload

HTTP 响应头 Strict-Transport-Security 缺失漏洞

itScholar001的博客

04-03

1011

这个漏洞就是说明网站的HTTP响应头中没有设置Strict-Transport-Security，没有设置则可以通过将https自己手动改成htttp的方式进行访问。HTTP 响应头 Strict-Transport-Security 缺失漏洞。如果此时你用http去访问的话则会报403 forbidden错误。http去访问的话则会报403 forbidden错误。添加了这个之后请求的响应头就会有这一段。2.手动在代码中设置。

检测到目标Strict-Transport-Security响应头缺失

lxyoucan的博客

07-14

7162

其可选的值有： max-age=SECONDS，表示本次命令在未来的生效时间 includeSubDomains，可以用来指定是否对子域名生效漏洞危害： Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security，这将导致浏览器提供的安全特性失效，更容易遭受 Web 前端黑客攻击的影响。

未设置Strict-Transport-Security响应头【原理扫描】

tone1128的博客

07-12

1903

1.webconfig中添加响应头。

X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复

cc123489ll的博客

05-31

478

点击劫持（用户界面矫正攻击、UI 矫正攻击、UI 矫正）是一种恶意技术，诱使 Web 用户点击与用户认为其单击的内容不同的内容，从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制。服务器未返回 X-Frame-Options 报头，这意味着此网站存在遭受点击劫持攻击的风险。响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。影响影响取决于受影响的 Web 应用程序。

ngnix 漏洞修复文档

03-03

6. Strict-Transport-Security 响应头缺失 Strict-Transport-Security 是一种 HTTP 响应头，用于指定 HTTPS 协议。通过添加 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload...

安全漏洞修复帖

weixin_45067120的博客

03-09

2427

整理系统遇到的安全漏洞

【绿盟】检测到目标Strict-Transport-Security响应头缺失

热门推荐

这把躺赢

10-22

1万+

1.问题展示项目安全扫描，扫到以下问题。检测到目标URL存在客户端（JavaScript）Cookie引用检测到目标Strict-Transport-Security响应头缺失检测到目标Referrer-Policy响应头缺失检测到目标X-Permitted-Cross-Domain-Policies响应头缺失检测到目标X-Download-Options响应头缺失点击劫持：X-Frame-Options未配置 ..

nginx-http-hsts:Nginx 模块添加适当的 Strict-Transport-Security 标头

05-30

nginx HSTS 模块 ngx_http_hsts 模块为 nginx 中的 HTTP 严格传输安全提供支持。依赖关系 nginx 1.xx 的来源及其依赖项。建造解压 nginx_ 源代码： $ tar zxvf nginx-1.x.x.tar.gz 解压缩摘要模块的源代码： $ unzip master.zip 切换到包含 nginx_ 源的目录，使用所需的选项运行配置脚本，并确保放置一个--add-module标志指向包含摘要模块源的目录： $ cd nginx-1.x.x $ ./configure --add-module=../nginx-http-hsts-master [other configure options] 构建并安装软件： $ make && sudo make install 使用模块的配置配置nginx。例子您可以通过将以下行添加到

Missing HTTP Strict-Transport-Security Header (HSTS) 解决

weixin_33796177的博客

08-21

4965

HSTS简介 HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本，不需要用户手动在URL地址栏中输入加密地址，以减少会话劫持风险。 server { listen 443 ssl; server_name ww...

HTTP/Strict-Transport-Security在Linux Web服务器上的配置

weixin_73725158的博客

09-05

978

HTTP Strict Transport Security（HSTS）是一种安全功能，旨在增强Web通信的安全性，通过强制客户端（主要是浏览器）仅通过HTTPS与服务器建立连接，从而有效防止中间人攻击和数据泄露。通过以上步骤，你可以在Linux Web服务器上成功配置HSTS，从而增强你的网站安全性，保护用户数据免受中间人攻击和其他安全威胁。这行代码的作用是告诉浏览器在接下来的两年（63072000秒）内，仅通过HTTPS与你的网站通信，并且这个规则适用于所有子域名。或你的网站特定的配置文件。

Tomcat的HTTP安全头配置

sll19891018的博客

03-19

8740

安全性http响应头是网络防护中非常重要的一环，如今，浏览器支持了一些HTTP安全相关的响应头，使用这些响应头一般只需要修改服务器配置即可，不需要修改程序代码，成本很低。[X-FRAME-OPTIONS] 这个header主要用来配置哪些网站可以通过frame来加载资源。它主要是用来防止UI redressing 补偿样式攻击。OpenAS Tomcat默认值：sameorigin [X...

关于nginx HTTP安全响应问题

liwan09的博客

04-20

1万+

攻击者利用透明的、不可见的iframe，覆盖在一个网页上，此时用户在不知情的情况下点击了这个透明的iframe页面。X-Content-Type-Options 响应头相当于一个提示标志，被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型的设定，而不能对其进行修改，这就禁用了客户端的 MIME 类型嗅探行为。web浏览器在响应头中缺少 X-Download-Options，这将导致浏览器提供的安全特性失效，更容易遭受 Web 前端黑客攻击的影响。