CloudLink: Uzak HTTPS sunucusu HTTP Sıkı Aktarım Güvenliği'ni (HSTS) zorunlu kılmıyor

CloudLink: Güvenlik taraması raporları:

The remote HTTPS server is not enforcing HTTP Strict Transport Security (HSTS)
The remote HTTPS server does not send the HTTP "Strict-Transport-Security" header

HSTS, tarayıcıya yalnızca HTTPS kullanarak iletişim kurma talimatı vermek için sunucuda yapılandırılabilen isteğe bağlı bir yanıt başlığıdır. HSTS'nin olmaması, sürüm düşürme saldırılarına, SSL'yi sıyırarak ortadaki adam saldırılarına izin verir ve çerez ele geçirme korumalarını zayıflatır.

- Navigate to the Cloudlink UI login page.
- Right click on white empty space and select 'Inspect'.
- Select the 'Network' tab.
- Select one of the Cloudlink HTTP requests on the left panel.
- Match the response headers you're seeing to what we expect to see from the KB article

HTTP Yanıtı tüm üst bilgilere sahiptir ve varsayılan olarak https://docs.spring.io/autorepo/docs/spring-security/4.2.3.RELEASE/reference/html/headers.html

            HTTP/1.1 200 OK
            Date: Fri, 22 May 2020 11:51:57 GMT
            Cache-Control: no-cache, no-store, max-age=0, must-revalidate
            Pragma: no-cache
            Expires: Thu, 01 Jan 1970 00:00:00 GMT
            Strict-Transport-Security: max-age=31536000 ; includeSubDomains
            X-XSS-Protection: 1; mode=block
            X-Frame-Options: SAMEORIGIN
            X-Content-Type-Options: nosniff
            Content-Type: text/html
            Last-Modified: Tue, 10 Sep 2019 17:33:22 GMT
            Accept-Ranges: bytes
            Vary: Accept-Encoding, User-Agent
            ETag: W/"C/NxCAz49KYC/NwZBDEXzM"
            Content-Length: 1349