Я настраиваю наше веб-приложение .NET так, чтобы в нем было HSTS включен. Я проверил это, перейдя на https://gf.dev/hsts-test и вставив наш URL и это показывает, что там есть защита HSTS.
Результат показывает:
Strict-Transport-Security max-age = 31536000; includeSubDomains
Однако наш клиент возвращается, говоря, что это все еще не так. Они сказали нам, что, хотя наш основной URL-адрес включен HSTS, URL-адрес тестового вектора - нет.
Например:
- Перейдите к https://gf.dev/hsts-test.
- Вставьте https://nvisium.com и нажмите Test Header.
- Результат показывает, что HSTS включен.
- Выполните тест еще раз, но вставьте https://nvisium.com/test.xml (test.xml не существует)
- Результат показывает, что HSTS не включен.
Если я помещаю URL-адрес существующего ресурса, он проходит проверку HSTS.
Мой вопрос в том, есть ли у них смысл? Или это ложноположительный тест в одном из программ для тестирования на проникновение, который они используют?
Играя в качестве защитника дьявола, я могу только утверждать, что, если вы запрашиваете несуществующий ресурс, веб-сайт все равно отправляет ответ и что он не заставляет клиента использовать hsts.