我对 HSTS 不是很熟悉,但我尝试在我的共享虚拟主机服务器上实现它。
似乎我已经让它在带有 www 的主机上工作。但不在顶点主机上。
强化安全审计将其标记为问题,审计报告:https ://www.hardenize.com/report/perroon.eu/1590566369#www_hsts
我无权访问 apache 配置,只有 .htaccess。
这是我的.htaccess:
# Force from HTTP to HTTPS
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://$1 [R,L]
# Secure this /secured section
<If "%{HTTPS} == 'on'">
AuthUserFile "/home/xtreamro/.htpasswds/perroon.eu/passwd"
AuthName "Restricted Access"
AuthType Basic
require valid-user
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set X-Frame-Options "deny"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Content-Security-Policy "default-src 'self' 'unsafe-inline'"
Header always set Content-Security-Policy "img-src *"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Cache-Control "public"
</If>
额外说明:
- 我在 .htaccess 中使用 IF,以确保基本身份验证通过 https 完成。
- 我的 .htaccess 在我的主机帐户的根目录中,而不是在域文件夹中。
有人可以分享一下我应该如何在没有安全审计提及的情况下做到这一点?
Hardenize 报告准确地告诉您要做什么。在此处提交您的网站 - https://hstspreload.org/或从您的 HSTS 记录中删除预加载。