Strict-Transport-Security Header Not Set

Was bedeutet Strict-Transport-Security Header Not Set?

Dieser Alert wird durch den Strict Transport Security Scanner generiert. Hierbei prüft der Scanner HTTPS-Antworten auf das Vorhandensein eines HTTP-Strict-Transport-Security-Headers (HSTS) und prüft, ob verschiedene Implementierungsprobleme vorliegen.

Folgende Warnungen werden durch den Scanner generierte:

• Strict-Transport-Security-Header Not Set: Wenn die Antwort HTTPS ist und der Header vollständig fehlt
• Strict-Transport-Security Disabled: Wenn die Antwort HTTPS ist und der Wert für max-age auf null gesetzt ist, werden die HSTS-Informationen des Browsers für die Website zurückgesetzt
• Strict-Transport-Security Multiple Header Entries (Non-compliant with Spec): Wenn die Antwort HTTPS lautet und  mehr als einen HSTS-Header enthält
• Strict-Transport-Security Missing Max-Age (Non-compliant with Spec): Wenn die Antwort HTTPS ist, wird ein HSTS-Header angegeben, der Max-Age-Wert enthält jedoch keine Zahl
• Strict-Transport -Security Defined via META (Non-compliant with Spec): Wenn der Antworttext ein META-Tag enthält, das versucht, HSTS zu definieren
• Strict-Transport-Security-Header on Plain HTTP Response: Wenn die Antwort HTTP ist und der HSTS-Header vorhanden ist
• Strict-Transport-Security-Max-Age-Malformed (Non-compliant with Spec): Wenn die Antwort HTTPS ist und der HSTS-Header vorhanden ist, gibt jedoch Anführungszeichen vor der Max-Age-Direktive (Anführungszeichen sind rund um den Max-Age-Wert zulässig, nicht jedoch um die Direktive selbst)
• Strict-Transport-Security Malformed Content (Non-compliant with Spec): Wenn die Antwort HTTPS ist und ein HSTS-Header vorhanden ist, jedoch unerwarteter Inhalt (z. B. geschwungene Anführungszeichen) vorliegt. Die Erwartung ist, dass der Inhalt als ASCII druckbar ist. Weiterleitungen zu HTTPS-URLs in derselben Domain werden nur bei LOW-Threshold gemeldet.