我不太熟悉 HSTS,但我尝试在我的共享网络托管服务器上实现它。
似乎我已经让它在带有 www 的主机上运行,但不能在 apex 主机上运行。
强化安全审计将其标记为问题,审计报告:https://www.hardenize.com/report/perroon.eu/1590566369#www_hsts
我无法访问 apache 配置,只能访问 .htaccess。
这是我的.htaccess:
# Force from HTTP to HTTPS
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://$1 [R,L]
# Secure this /secured section
<If "%{HTTPS} == 'on'">
AuthUserFile "/home/xtreamro/.htpasswds/perroon.eu/passwd"
AuthName "Restricted Access"
AuthType Basic
require valid-user
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set X-Frame-Options "deny"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Content-Security-Policy "default-src 'self' 'unsafe-inline'"
Header always set Content-Security-Policy "img-src *"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Cache-Control "public"
</If>
补充说明:
- 我在 .htaccess 中使用 IF,以确保通过 https 完成基本身份验证。
- 我的 .htaccess 位于我的托管帐户的根目录中,而不是在域文件夹中。
有人可以告诉我如何在没有安全审计提及的情况下做到这一点吗?
答案1
Hardenize 报告会告诉您具体该怎么做。在此提交您的网站 -https://hstspreload.org/或者从您的 HSTS 记录中删除预加载。