Strict-Transport-Security Header Not Set

Was bedeutet Strict-Transport-Security Header Not Set?

Dieser Alert wird durch den Strict Transport Security Scanner generiert. Hierbei prüft der Scanner HTTPS-Antworten auf das Vorhandensein eines HTTP-Strict-Transport-Security-Headers (HSTS) und prüft, ob verschiedene Implementierungsprobleme vorliegen.

Folgende Warnungen werden durch den Scanner generiert:

Wenn die Antwort HTTPS ist und der Header vollständig fehlt.

Wenn die Antwort HTTPS ist und der Wert für max-age auf null gesetzt ist, werden die HSTS-Informationen des Browsers für die Website zurückgesetzt.

Wenn die Antwort HTTPS lautet und mehr als einen HSTS-Header enthält.

Wenn die Antwort HTTPS ist, wird ein HSTS-Header angegeben, der Max-Age-Wert enthält jedoch keine Zahl.

Wenn der Antworttext ein META-Tag enthält, das versucht, HSTS zu definieren.

Wenn die Antwort HTTP ist und der HSTS-Header vorhanden ist.

Wenn die Antwort HTTPS ist und der HSTS-Header vorhanden ist, gibt jedoch Anführungszeichen vor der Max-Age-Direktive (Anführungszeichen sind rund um den Max-Age-Wert zulässig, nicht jedoch um die Direktive selbst).

Wenn die Antwort HTTPS ist und ein HSTS-Header vorhanden ist, jedoch unerwarteter Inhalt (z. B. geschwungene Anführungszeichen) vorliegt. Die Erwartung ist, dass der Inhalt als ASCII druckbar ist. Weiterleitungen zu HTTPS-URLs in derselben Domain werden nur bei LOW-Threshold gemeldet.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Sie haben noch Fragen?

Kontaktieren Sie uns