Strict-Transport-Security (HSTS) not enforced
未强制执行 Strict-Transport-Security (HSTS)
描述
HTTP Strict-Transport-Security 响应标头(简称 HSTS)允许网站告诉浏览器只能使用 HTTPS 而不是 HTTP 来访问它。
要利用此漏洞,攻击者必须拦截并修改来自目标的网络流量。
这需要客户端通过不安全的连接(例如公共 Wi-Fi)与服务器进行通信。
建议
服务器必须将 Strict-Transport-Security 标头添加到所有 HTTP 响应中,以指示浏览器使用传输安全。
HSTS 仅在首次使用后生效,从未访问过该应用程序的用户仍然容易受到 SSL 剥离(SSL stripping)攻击。