Strict-Transport-Security 헤더가 누락되었거나 유효하지 않음

DAST 검사 16.7 - Strict-Transport-Security 헤더 누락 또는 잘못된 구성 탐지

설명 # Strict-Transport-Security 헤더가 누락되었거나 유효하지 않습니다. Strict-Transport-Security 헤더를 사용하면 웹사이트 운영자가 TLS 연결을 통해서만 통신이 이루어지도록 강제할 수 있습니다. 이 헤더를 활성화하면 웹사이트는 다양한 형태의 네트워크 도청이나 가로채기 공격으로부터 사용자를 보호할 수 있습니다. 대부분의 브라우저는 혼합 콘텐츠(HTTPS 사이트에서 탐색 시 HTTP에서 리소스를 로드하는 것)를 차단하지만, 이 헤더는 모든 리소스 요청이 보안 전송을 통해서만 시작되도록 보장합니다. 해결 방법 # Strict-Transport-Security 헤더에는 세 가지 지시자만 적용됩니다. max-age : 이 필수 지시자는 응답을 받은 후 보안 전송으로만 통신해야 하는 기간(초)을 지정합니다. includeSubDomains : 이 선택적인 값 없는 지시자는 정책이 이 호스트뿐만 아니라 이 호스트 도메인 아래의 모든 하위 도메인에도 적용됨을 알립니다. preload : 명세의 일부는 아니지만, 이 선택적 값을 설정하면 주요 브라우저 조직이 이 사이트를 브라우저의 사전 로드된 HTTPS 사이트 집합에 추가할 수 있습니다. 이를 위해서는 웹사이트 운영자가 브라우저의 HSTS 사전 로드 목록에 도메인을 제출하는 추가 조치가 필요합니다. 자세한 내용은 hstspreload.org 를 참조하세요. 유효하지 않은 지시자나 (값이 다른 경우) Strict-Transport-Security 헤더가 두 번 이상 나타나면 유효하지 않은 것으로 간주됩니다. 웹사이트에 이 보안 구성을 추가하기 전에 hstspreload.org의 배포 권장 사항 을 검토하는 것이 좋습니다. 세부 정보 # ID Aggregated CWE Type Risk 16.7 true 16 Passive Low 링크 # CWE Deployment Recommendations OWASP RFC