Strict-Transport-Security 헤더가 누락되었거나 유효하지 않습니다.
설명
Strict-Transport-Security 헤더가 누락되었거나 유효하지 않은 것으로 확인되었습니다. Strict-Transport-Security 헤더를 통해 웹 사이트 운영자는 통신을 TLS 연결을 통해 수행하도록 강제할 수 있습니다. 이 헤더를 활성화하면 웹 사이트는 다양한 형태의 네트워크 도청이나 가로채기 공격으로부터 사용자를 보호할 수 있습니다. 대부분의 브라우저는 혼합 콘텐츠(HTTPS 사이트에서 HTTP를 통해 리소스를로드할 때)를 방지하지만, 이 헤더는 또한 모든 리소스 요청이 안전한 전송 방식으로만 시작되도록 보장합니다.
복구
Strict-Transport-Security 헤더에는 세 가지 지시어만 적용됩니다.
-
max-age: 이 필수 지시어는 응답을 받은 후 몇 초간은 반드시 안전한 전송 방식을 통해서만 통신해아 합니다. -
includeSubDomains: 이 선택적인 값 없는 지시어는 정책이 해당 호스트뿐만 아니라 이 호스트의 도메인 하위에 있는 모든 하위 도메인에도 적용되는 것을 나타냅니다. -
preload: 이 사양의 일부가 아니지만, 이 선택적인 값 설정을 통해 주요 브라우저 기관이 이 사이트를 브라우저의 미리로드된 HTTPS 사이트 집합에 추가할 수 있습니다. 이를 위해 웹 사이트 운영자는 자신의 도메인을 브라우저의 HSTS 미리로드 디렉터리에 제출해야 합니다. 자세한 정보는 hstspreload.org를 참조하세요.
유효하지 않은 지시어나 Strict-Transport-Security 헤더가 값이 다른 경우 두 번 이상 나타나는 경우(있다면) 이는 유효하지 않은 것으로 간주됩니다.
웹 사이트에 이 보안 구성을 추가하기 전에, hstspreload.org의 배포 권고사항을 검토하는 것이 좋습니다.
세부 정보
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 16.7 | true | 16 | Passive | Low |
도움말