HTTP 响应头 Strict-Transport-Security 缺失漏洞

HTTP 响应头 Strict-Transport-Security 缺失漏洞

这个漏洞就是说明网站的HTTP响应头中没有设置Strict-Transport-Security，没有设置则可以通过将https自己手动改成htttp的方式进行访问。不安全
解决方法
1.nginx配置
nginx中增加如下配置：
location / {
…
add_header Strict-Transport-Security “max-age=63072000;
includeSubdomains; preload”;

2.手动在代码中设置
@Log4j2
@Component
public class TestInterceptor implements HandlerInterceptor {

@Override
public boolean preHandle(HttpServletRequest request,
                         HttpServletResponse response, Object handler) {

        response.addHeader("Strict-Transport-Security", "max-age=31536000; includeSubDomains; preload");
                         }

}

添加了这个之后请求的响应头就会有这一段

如果此时你用http去访问的话则会报403 forbidden错误
http去访问的话则会报403 forbidden错误