Strict-Transport-Security Header Not Set

Was bedeutet Strict-Transport-Security Header Not Set?

Dieser Alert wird durch den Strict Transport Security Scanner generiert. Hierbei prüft der Scanner HTTPS-Antworten auf das Vorhandensein eines HTTP-Strict-Transport-Security-Headers (HSTS) und prüft, ob verschiedene Implementierungsprobleme vorliegen.

Folgende Warnungen werden durch den Scanner generierte:

  • Strict-Transport-Security-Header Not Set: Wenn die Antwort HTTPS ist und der Header vollständig fehlt
  • Strict-Transport-Security Disabled: Wenn die Antwort HTTPS ist und der Wert für max-age auf null gesetzt ist, werden die HSTS-Informationen des Browsers für die Website zurückgesetzt
  • Strict-Transport-Security Multiple Header Entries (Non-compliant with Spec): Wenn die Antwort HTTPS lautet und  mehr als einen HSTS-Header enthält
  • Strict-Transport-Security Missing Max-Age (Non-compliant with Spec): Wenn die Antwort HTTPS ist, wird ein HSTS-Header angegeben, der Max-Age-Wert enthält jedoch keine Zahl
  • Strict-Transport -Security Defined via META (Non-compliant with Spec): Wenn der Antworttext ein META-Tag enthält, das versucht, HSTS zu definieren
  • Strict-Transport-Security-Header on Plain HTTP Response: Wenn die Antwort HTTP ist und der HSTS-Header vorhanden ist
  • Strict-Transport-Security-Max-Age-Malformed (Non-compliant with Spec): Wenn die Antwort HTTPS ist und der HSTS-Header vorhanden ist, gibt jedoch Anführungszeichen vor der Max-Age-Direktive (Anführungszeichen sind rund um den Max-Age-Wert zulässig, nicht jedoch um die Direktive selbst)
  • Strict-Transport-Security Malformed Content (Non-compliant with Spec): Wenn die Antwort HTTPS ist und ein HSTS-Header vorhanden ist, jedoch unerwarteter Inhalt (z. B. geschwungene Anführungszeichen) vorliegt. Die Erwartung ist, dass der Inhalt als ASCII druckbar ist. Weiterleitungen zu HTTPS-URLs in derselben Domain werden nur bei LOW-Threshold gemeldet.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte