Strict-Transport-Security 헤더 누락 또는 유효하지 않음

DAST 브라우저 검사 16.7 - Strict-Transport-Security 헤더 누락 또는 유효하지 않은 경우 설명 및 해결 방법

설명 # Strict-Transport-Security 헤더가 누락되었거나 유효하지 않은 것으로 확인되었습니다. Strict-Transport-Security 헤더는 웹사이트 운영자가 통신이 TLS 연결을 통해서만 이루어지도록 강제할 수 있게 해줍니다. 이 헤더를 활성화하면 웹사이트는 다양한 형태의 네트워크 도청이나 가로채기 공격으로부터 사용자를 보호할 수 있습니다. 대부분의 브라우저는 혼합 콘텐츠(HTTPS 사이트에서 탐색할 때 HTTP로 리소스를 로드하는 것)를 차단하지만, 이 헤더는 모든 리소스 요청이 보안 전송을 통해서만 시작되도록 보장합니다. 해결 방법 # Strict-Transport-Security 헤더에 적용 가능한 지시자는 세 가지뿐입니다. max-age : 이 필수 지시자는 응답을 받은 후 보안 전송을 통해서만 통신해야 하는 기간(초 단위)을 지정합니다. includeSubDomains : 이 선택적인 값 없는 지시자는 해당 호스트 도메인 아래의 모든 서브도메인에도