非 www 主机上未预加载 HSTS 策略

非 www 主机上未预加载 HSTS 策略

我不太熟悉 HSTS,但我尝试在我的共享网络托管服务器上实现它。

似乎我已经让它在带有 www 的主机上运行,​​但不能在 apex 主机上运行。

强化安全审计将其标记为问题,审计报告:https://www.hardenize.com/report/perroon.eu/1590566369#www_hsts

我无法访问 apache 配置,只能访问 .htaccess。

这是我的.htaccess:

# Force from HTTP to HTTPS
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://$1 [R,L]

# Secure this /secured section
<If "%{HTTPS} == 'on'">
    AuthUserFile "/home/xtreamro/.htpasswds/perroon.eu/passwd"
    AuthName "Restricted Access"
    AuthType Basic
    require valid-user
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
    Header always set X-Frame-Options "deny"
    Header always set X-XSS-Protection "1; mode=block"
    Header always set X-Content-Type-Options "nosniff"
    Header always set Content-Security-Policy "default-src 'self' 'unsafe-inline'"
    Header always set Content-Security-Policy "img-src *"
    Header always set Referrer-Policy "strict-origin-when-cross-origin"
    Header always set Cache-Control "public"
</If>

补充说明:

  • 我在 .htaccess 中使用 IF,以确保通过 https 完成基本身份验证。
  • 我的 .htaccess 位于我的托管帐户的根目录中,而不是在域文件夹中。

有人可以告诉我如何在没有安全审计提及的情况下做到这一点吗?

答案1

Hardenize 报告会告诉您具体该怎么做。在此提交您的网站 -https://hstspreload.org/或者从您的 HSTS 记录中删除预加载。

相关内容