详细描述

Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security，这将导致浏览器提供的安全特性失效。 当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 头时，浏览器将持续使用 HTTPS 来访问 Web 站点，可以用来对抗协议降级攻击和 Cookie 劫持攻击。

其可选的值有： max-age=SECONDS，表示本次命令在未来的生效时间 includeSubDomains，可以用来指定是否对子域名生效漏洞危害： Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security，这将导致浏览器提供的安全特性失效，更容易遭受 Web 前端黑客攻击的影响。

解决办法

1）修改服务端程序，给 HTTP 响应头加上 Strict-Transport-Security 如果是 java 服务端，可以使用如下方式添加 HTTP 响应头 response.setHeader(“Strict-Transport-Security”, “value”) 如果是 php 服务端，可以使用如下方式添加 HTTP 响应头 header(“Strict-Transport-Security: value”) 如果是 asp 服务端，可以使用如下方式添加 HTTP 响应头 Response.AddHeader “Strict-Transport-Security”, “value” 如果是 python django 服务端，可以使用如下方式添加 HTTP 响应头 response = HttpResponse() response[“Strict-Transport-Security”] = “value” 如果是 python flask 服务端，可以使用如下方式添加 HTTP 响应头 response = make_response() response.headers[“Strict-Transport-Security”] = “value”；
2）修改负载均衡或反向代理服务器，给 HTTP 响应头加上 Strict-Transport-Security 如果使用 Nginx、Tengine、Openresty 等作为代理服务器，在配置文件中写入如下内容即可添加 HTTP 响应头： add_header Strict-Transport-Security value; 如果使用 Apache 作为代理服务器，在配置文件中写入如下内容即可添加 HTTP 响应头： Header add Strict-Transport-Security “value”。