유효하지 않거나 누락된 Strict-Transport-Security 헤더
설명
Strict-Transport-Security 헤더가 누락되거나 유효하지 않은 것으로 확인되었습니다. Strict-Transport-Security 헤더는 웹 사이트 운영자가 통신을 TLS 연결을 통해 발생하도록 강제할 수 있도록 합니다. 이 헤더를 활성화함으로써 웹 사이트는 다양한 형태의 네트워크 도청이나 가로채기 공격으로부터 사용자를 보호할 수 있습니다. 대부분의 브라우저는 혼합 콘텐츠(HTTPS 사이트에서 이동할 때 HTTP에서 리소스를로드하는 것)를 방지하지만, 이 헤더는 또한 모든 리소스 요청이 안전한 전송으로만 이뤄짐을 보장합니다.
복구
Strict-Transport-Security 헤더에는 세 가지 지시문만 적용됩니다.
-
max-age: 이 필수 지시문은 응답을 수신한 후 몇 초 동안 오직 안전한 전송에서 통신해야 하는지를 지정합니다. -
includeSubDomains: 이 선택적인 값 없는 지시문은 이 호스트 및 이 호스트의 도메인 하위에 발견된 모든 하위 도메인에 정책이 적용되는 신호를 나타냅니다. -
preload: 명세의 일부가 아니지만, 이 선택적인 값을 설정하면 주요 브라우저 기관들이 이 사이트를 HTTPS 사이트의 미리 로드된 집합에 추가할 수 있도록 합니다. 이를 위해서는 웹 사이트 운영자가 본인의 도메인을 브라우저의 HSTS 프리로드 목록에 제출해야 합니다. 자세한 정보는 hstspreload.org를 참조하십시오.
유효하지 않은 지시문이나 Strict-Transport-Security 헤더가 값이 다른 상태로 여러 번 나타나는 경우 이를 잘못된 것으로 간주합니다.
웹 사이트의 보안 구성에 이를 추가하기 전에 hstspreload.org의 배포 권장 사항을 검토하는 것이 좋습니다.
세부정보
| ID | 집계 | CWE | 유형 | 위험성 |
|---|---|---|---|---|
| 16.7 | true | 16 | 수동 | 낮음 |
도움말