• 日期: 2025-11-05 15:21:18
  • 标签: 常规

如果 AppScan 检测到 HTTP Strict-Transport-Security 响应头缺失或者 'max-age' 设置不足,可以通过以下步骤来解决:

  1. 在 Nginx 配置文件中添加 HTTP Strict-Transport-Security 响应头。例如:
add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload';

  1. 确保 'max-age' 参数的值足够长,以确保浏览器在未来一年内只能使用 HTTPS 与该网站进行通信。

  2. 确保 includeSubDomains 参数已设置,以确保所有子域都受到 HSTS 的保护。

  3. 可以考虑使用 preload 参数,以便将网站添加到 HSTS 预加载列表中。这将确保所有支持 HSTS 的浏览器都将在第一次访问网站时自动将其添加到其内部 HSTS 预加载列表中。

  4. 在完成任何更改后,请确保重新启动 Nginx 服务器以使更改生效。

总之,通过添加和正确配置 HTTP Strict-Transport-Security 响应头,可以提高网站的安全性和保护用户隐私。

Nginx 配置 HTTP Strict-Transport-Security (HSTS) 响应头 - AppScan 安全检测解决方案

原文地址: https://www.cveoy.top/t/topic/n62Z 著作权归作者所有。请勿转载和采集!

免费AI点我,无需注册和登录