我正在尝试清理我在 Ubuntu 16.04 上安装的 NextCloud 15。概述页面建议进行以下更改:
HTTP 标头“Strict-Transport-Security”未设置为至少“15552000”秒。为增强安全性,建议按照安全提示↗中所述启用 HSTS。
我转到了它建议的页面并要求添加以下内容:
<VirtualHost *:443>
ServerName cloud.nextcloud.com
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>
</VirtualHost>
所以我相信我已经这样做了,但我仍然收到同样的信息。
这是我添加它的地方:
我重新启动了 apache,还重新启动了服务器,看看它是否生效。
我究竟做错了什么?
答案1
我遇到了同样的问题,并通过输入以下内容解决了该问题:
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
可能max-age需要大于1552000,但我还执行了命令:
sudo a2enmod headers
插入该行后。响应如下:
模块标头已启用,请重新启动 Apache 以使之生效。
我认为该模块之前根本没有激活。
重新启动 Apache 并重新运行安全验证程序后,该消息消失了。