• 陪伴互联网运营小白共同探索成长,与IT爱好者共享探索乐趣
  • 建站只为分享,欢迎在PC端文章面打赏支持
  • 使用Ctrl+D 可收藏本站

nextcloud系列:未设置 Strict-Transport-Security HTTP 标头

好玩有趣 陆子方 2周前 (03-01) 75次浏览 0个评论 扫描二维码
文章目录[隐藏]

报错内容

您的实例上的某些标头设置不正确 – 未设置 Strict-Transport-Security HTTP 标头(应至少为 15552000 秒)。为了增强安全性,建议启用 HSTS。

解决它

我使用的是nextcloud官方指引中提到的Nginx 配置文件,找到 # HSTS settings 部分,并确保如下行没有被注释:

#add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;" always;

最终调整为
add_header Strict-Transport-Security "max-age=15768000; includeSubDomains" always;

 

HSTS 强烈依赖于域名,并且 preload 选项要求你的域名支持 HTTPS。在这种情况下,通过 IP 地址访问时无法享受 HSTS 的完全功能,因为大多数浏览器不会将 HSTS 策略应用于 IP 地址。

如果你使用的是 IP 地址,浏览器不会将其添加到 HSTS 强制列表中,即使你启用了 HSTS,浏览器仍然会允许通过 HTTP 访问此 IP 地址。

如果你仍然希望使用 HSTS,至少可以启用它,虽然 preload 不适用于 IP 地址。你只需要确保你的服务器支持 HTTPS。


子方有料原创丨转载请注明原文链接
期待您的评论或捐赠,这是最好的鼓励和支持!
喜欢 (0)
[赞赏使我快乐]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到