Strict-Transport-Security 헤더가 없거나 잘못됨

설명

Strict-Transport-Security 헤더가 없거나 잘못된 것으로 발견되었습니다. Strict-Transport-Security 헤더는 웹사이트 운영자가 TLS 연결을 통해 통신할 것을 강제할 수 있게 합니다. 이 헤더를 활성화함으로써, 웹사이트는 사용자들을 다양한 형태의 네트워크 도청 또는 가로채기 공격으로부터 보호할 수 있습니다.

대부분의 브라우저는 혼합 콘텐츠(HTTPS 사이트에서 HTTP로 자원을 로드하는)를 방지하지만, 이 헤더는 모든 자원 요청이 항상 안전한 전송을 통해서만 시작되도록 보장합니다.

수정 방법

Strict-Transport-Security 헤더에 적용 가능한 지침은 세 가지입니다.

  1. max-age: 이 필수 지침은 응답을 받은 후 얼마나 오랫동안(초 단위) 안전한 전송을 통해서만 통신해야 하는지를 지정합니다.

  2. includeSubDomains: 이 선택적, 무값 지침은 정책이 이 호스트뿐만 아니라 이 호스트의 도메인 아래에 있는 모든 서브 도메인에도 적용된다는 것을 신호합니다.

  3. preload: 사양의 일부는 아니지만, 이 선택적 값을 설정하면 주요 브라우저 조직이 이 사이트를 브라우저의 사전 로드 HTTPS 사이트 목록에 추가할 수 있습니다. 이를 위해 웹사이트 운영자가 자신의 도메인을 브라우저의 HSTS 사전 로드 목록에 제출해야 합니다. 자세한 내용은 hstspreload.org를 참조하세요.

잘못된 지침이나 Strict-Transport-Security 헤더가 한 번 이상 나타나는 경우(값이 다를 경우)는 잘못된 것으로 간주됩니다.

이 보안 구성을 웹사이트에 추가하기 전에, hstspreload.org의 배포 권장 사항을 검토하는 것이 좋습니다.

세부정보

ID 집계됨 CWE 유형 위험
16.7 true 16 수동 낮음

링크