Strict-Transport-Security 헤더가 누락되었거나 유효하지 않음

DAST 검사 16.7 - Strict-Transport-Security 헤더 누락 또는 잘못된 구성 탐지

설명 # Strict-Transport-Security 헤더가 누락되었거나 유효하지 않습니다. Strict-Transport-Security 헤더를 사용하면 웹사이트 운영자가 TLS 연결을 통해서만 통신이 이루어지도록 강제할 수 있습니다. 이 헤더를 활성화하면 웹사이트는 다양한 형태의 네트워크 도청이나 가로채기 공격으로부터 사용자를 보호할 수 있습니다. 대부분의 브라우저는 혼합 콘텐츠(HTTPS 사이트에서 탐색 시 HTTP에서 리소스를 로드하는 것)를 차단하지만, 이 헤더는 모든 리소스 요청이 보안 전송을 통해서만 시작되도록 보장합니다. 해결 방법 # Strict-Transport-Security 헤더에는 세 가지 지시자만 적용됩니다. max-age : 이 필수 지시자는 응답을 받은 후 보안 전송으로만 통신해야 하는 기간(초)을 지정합니다. includeSubDomains : 이 선택적인 값 없는 지시자는 정책이 이 호스트뿐만 아니라 이 호스트 도메인 아래의 모든 하위 도메인에도 적