HTTPS 服务器中缺少 HSTS

info Nessus 插件 ID 84502

简介

远程 Web 服务器未强制执行 HSTS。

描述

远程 HTTPS 服务器未强制执行 HTTP 严格传输安全 (HSTS)。HSTS 是可选的响应头,可以在服务器上配置为指示浏览器仅通过 HTTPS 进行通信。HSTS 的缺失允许降级攻击和 SSL 剥离的中间人攻击,并削弱对 Cookie 劫持的保护。

解决方案

配置远程 Web 服务器使用 HSTS。

另见

https://tools.ietf.org/html/rfc6797

插件详情

严重性: Info

ID: 84502

文件名: hsts_missing_on_https_server.nasl

版本: 1.6

类型: remote

系列: Web Servers

发布时间: 2015/7/2

最近更新时间: 2021/5/19

支持的传感器: Nessus

漏洞信息

必需的 KB 项: SSL/Supported