HTTP 響應頭 Strict-Transport-Security 缺失漏洞
這個漏洞就是說明網站的HTTP響應頭中沒有設置Strict-Transport-Security,沒有設置則可以通過將https自己手動改成htttp的方式進行訪問。不安全
解決方法
1.nginx配置
nginx中增加如下配置:
location / {
…
add_header Strict-Transport-Security “max-age=63072000;
includeSubdomains; preload”;
2.手動在代碼中設置
@Log4j2
@Component
public class TestInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request,HttpServletResponse response, Object handler) {response.addHeader("Strict-Transport-Security", "max-age=31536000; includeSubDomains; preload");}
}
添加了這個之后請求的響應頭就會有這一段
如果此時你用http去訪問的話則會報403 forbidden錯誤
http去訪問的話則會報403 forbidden錯誤
)
