我设置了我们的.NET网络应用程序,使其具有以下功能 HSTS 启用。 我验证了这一点,通过进入 https:/gf.devhsts-test 并放入我们的URL,它显示HSTS保护是存在的。
结果显示
Strict-Transport-Security max-age=31536000; includeSubDomains。
但是,我们的客户回来说还是不行。 他们告诉我们,虽然我们的主URL启用了HSTS,但测试向量URL却没有。
比如说,我们的主URL已经启用了HSTS,但测试向量URL却没有启用。
如果我把URL放到一个已经存在的资源上,它就能通过HSTS测试。
我的问题是,他们是否有道理,还是他们使用的某个渗透测试软件中的假阳性测试?
扮演魔鬼代言人的角色,我只能说,如果你请求一个不存在的资源,网站仍然会发送一个响应回来,而且它不会强迫客户端使用hsts。
同样的问题也发布在安全堆栈交流上,Esa Jokinen回答了这个问题。此处.