엄격한 전송 보안을 사용하려고합니다. MY 웹 사이트가 https를 사용하도록 설정되었습니다. 다음은 hsts를 활성화하는 코드입니다.엄격한 전송 보안 사용 mvc
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
**<add name="Strict-Transport-Security" value="max-age=31536000"/>**
.....
</customHeaders>
</httpProtocol>
위의 설정은 엄격한 전송 보안을 설정하기에 충분하거나 아래 설정을 추가해야합니다.
<rewrite>
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"
redirectType="Permanent" />
</rule>
</rules>
<outboundRules>
<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security"
pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=31536000" />
</rule>
</outboundRules>
</rewrite>
모두 설정 우리는 하거나에만 재 작성하여 HSTS를 활성화 할 수 있습니다 재 작성의 필요성은 다음 무엇을 필수 경우
.왜 다시 쓰기가 필요합니까? https://www.hanselman.com/blog/HowToEnableHTTPStrictTransportSecurityHSTSInIIS7.aspx
https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet. – user1681166
재사용을 사용하지 않을 경우 – user1681166
다시 쓰지 않으면 어떻게됩니까? 내가 재 작성을 사용하지 않았다 .. 그냥 sts에 대한 위의 코드를 사용하여, 브라우저 캐시를 지우고, 다음 http와 함께 URL을 입력하고 당신은 http로 사이트를 착륙합니다. https로 리디렉션되지 않습니다. https로 URL을 치면 http를 입력하고 사이트에 들어가려고하면 더 이상 http로 사이트에 액세스 할 수 없습니다. 다시 캐시를 지우고 http를 시도하면 허용됩니다. 클라이언트 브라우저 용으로 설정된 값입니다. 캐시를 지우면 사라질 것입니다. – Chidambaram