Strict-Transport-Security Header Not Set
Copyright © Shutterstock/ deepadesigns
Was bedeutet Strict-Transport-Security Header Not Set?
Dieser Alert wird durch den Strict Transport Security Scanner generiert. Hierbei prüft der Scanner HTTPS-Antworten auf das Vorhandensein eines HTTP-Strict-Transport-Security-Headers (HSTS) und prüft, ob verschiedene Implementierungsprobleme vorliegen.
Folgende Warnungen werden durch den Scanner generiert:
Wenn die Antwort HTTPS ist und der Header vollständig fehlt.
Wenn die Antwort HTTPS ist und der Wert für max-age auf null gesetzt ist, werden die HSTS-Informationen des Browsers für die Website zurückgesetzt.
Wenn die Antwort HTTPS lautet und mehr als einen HSTS-Header enthält.
Wenn die Antwort HTTPS ist, wird ein HSTS-Header angegeben, der Max-Age-Wert enthält jedoch keine Zahl.
Wenn der Antworttext ein META-Tag enthält, das versucht, HSTS zu definieren.
Wenn die Antwort HTTP ist und der HSTS-Header vorhanden ist.
Wenn die Antwort HTTPS ist und der HSTS-Header vorhanden ist, gibt jedoch Anführungszeichen vor der Max-Age-Direktive (Anführungszeichen sind rund um den Max-Age-Wert zulässig, nicht jedoch um die Direktive selbst).
Wenn die Antwort HTTPS ist und ein HSTS-Header vorhanden ist, jedoch unerwarteter Inhalt (z. B. geschwungene Anführungszeichen) vorliegt. Die Erwartung ist, dass der Inhalt als ASCII druckbar ist. Weiterleitungen zu HTTPS-URLs in derselben Domain werden nur bei LOW-Threshold gemeldet.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Sie haben noch Fragen?
