IIS下的.net网站安全扫描提示：Strict-Transport-Security 请求头配置错误

IIS下的.net网站安全扫描提示：Strict-Transport-Security 请求头配置错误。 命中详情：Missing Strict-Transport-Security Header

这是一个非常常见且重要的安全配置问题。Strict-Transport-Security（通常简称为 HSTS）响应头是确保网站始终通过 HTTPS 访问的关键安全机制。

问题解释

Missing Strict-Transport-Security Header 意味着你的网站在 HTTPS 响应中没有告诉浏览器：“以后请只使用 HTTPS 来访问我，不要再使用不安全的 HTTP。”

风险：如果没有这个头，即使这次用户通过 HTTPS 访问了你的网站，下次他可能还是会直接输入域名（如 www.example.com）或点击一个 HTTP 链接。浏览器默认会使用 HTTP 协议访问，这时如果你的服务器同时支持 HTTP 访问，用户就会通过明文传输连接，容易受到中间人攻击。即使你设置了 HTTP 到 HTTPS 的重定向，在重定向发生前的那次 HTTP 请求依然是脆弱的。

解决方案（在 IIS 中配置）

有几种方法可以在 IIS 中为 .NET 网站添加 HSTS 头。推荐使用第一种方法，因为它最标准、最灵活。

方法：在 web.config 文件中配置（推荐）

这是最常用且易于管理的方法。你只需要修改网站的 web.config 文件。

· 打开你的网站根目录下的 web.config 文件。

· 找到 <system.webServer> 节点。如果不存在，就在 <configuration> 节点下创建它。

· 在 <system.webServer> 节点下添加或修改 <httpProtocol> 和 <customHeaders> 部分。

以下是完整的配置示例：

<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <system.webServer>
        <httpProtocol>
            <customHeaders>
                <!-- 添加 HSTS 响应头 -->
                <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload" />
            </customHeaders>
        </httpProtocol>
    </system.webServer>
</configuration>

配置参数解释：

name="Strict-Transport-Security"：指定要添加的响应头名称。

value：包含 HSTS 策略指令。

max-age=31536000：（必需） 告诉浏览器在多少秒内（31536000 秒 = 365 天）记住这个网站只使用 HTTPS。这是最重要的参数。

includeSubDomains：（可选但强烈推荐） 此策略也适用于所有子域名（如 api.example.com, blog.example.com）。如果你的所有子域名都支持 HTTPS，请务必加上。

preload：（可选） 这是一个更高级的特性。如果你加上这个指令，并且将你的域名提交到 HSTS Preload List，浏览器在首次访问你的网站之前就知道必须使用 HTTPS。这是一个单向操作，撤销非常困难，请谨慎使用。在测试阶段，可以先不加 preload。