Dot-Htaccess

未在非 www 主機上預載入 HSTS 策略

  • May 27, 2020

我對 HSTS 不是很熟悉,但我嘗試在我的共享虛擬主機伺服器上實現它。

似乎我已經讓它在帶有 www 的主機上工作。但不在頂點主機上。

強化安全審計將其標記為問題,審計報告:https ://www.hardenize.com/report/perroon.eu/1590566369#www_hsts

我無權訪問 apache 配置,只有 .htaccess。

這是我的.htaccess:

# Force from HTTP to HTTPS
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://$1 [R,L]

# Secure this /secured section
<If "%{HTTPS} == 'on'">
   AuthUserFile "/home/xtreamro/.htpasswds/perroon.eu/passwd"
   AuthName "Restricted Access"
   AuthType Basic
   require valid-user
   Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
   Header always set X-Frame-Options "deny"
   Header always set X-XSS-Protection "1; mode=block"
   Header always set X-Content-Type-Options "nosniff"
   Header always set Content-Security-Policy "default-src 'self' 'unsafe-inline'"
   Header always set Content-Security-Policy "img-src *"
   Header always set Referrer-Policy "strict-origin-when-cross-origin"
   Header always set Cache-Control "public"
</If>

額外說明:

  • 我在 .htaccess 中使用 IF,以確保基本身份驗證通過 https 完成。
  • 我的 .htaccess 在我的主機帳戶的根目錄中,而不是在域文件夾中。

有人可以分享一下我應該如何在沒有安全審計提及的情況下做到這一點?

Hardenize 報告準確地告訴您要做什麼。在此處送出您的網站 - https://hstspreload.org/或從您的 HSTS 記錄中刪除預載入。

引用自:https://serverfault.com/questions/1018875