gpt4 book ai didi

iis - 即使 header 存在,HSTS 仍显示已禁用

转载 作者:行者123 更新时间:2023-12-03 22:29:16 24 4
gpt4 key购买 nike

我的公司正在使用 Tenable 来识别安全漏洞。最近发现了缺失的 HSTS。我们的服务器正在使用 IIS 10。
我已经添加了多篇博客中概述的 HSTS header ,以及关于 SO 的问题。
我的根 web.config 看起来像这样:


<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<appSettings>
<add key="Environment" value="Local" />
</appSettings>
<system.webServer>
<rewrite>
<rules>
<rule name="HTTP to HTTPS redirect global" stopProcessing="true" >
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>
</rules>
<outboundRules>
<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security"
pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" />
</rule>
</outboundRules>
</rewrite>
</system.webServer>
</configuration>

问题:应用更改后,Tenable 仍然存在漏洞。此外,在 FireFox 的开发工具中检查站点时,我可以看到标题存在,但是安全选项卡指示 HSTS 已禁用。
问题:如何让 Firefox 和 Tenable 显示此更改?
enter image description here
enter image description here

最佳答案

它也可能与您在 HSTS header 中提到的预加载标签有关。您确定您的网站已添加到预加载列表中(由 google/chrome 维护)
如果您将站点部署为子域,那么您可能还需要将 HSTS 添加到父域(不是子域)并提交预加载。
完成后,您可以在 https://hstspreload.org/ 验证并查找更多详细信息。

关于iis - 即使 header 存在,HSTS 仍显示已禁用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64652749/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com