CloudLink : Le serveur HTTPS distant n’applique pas le protocole HSTS (Strict Transport Security) HTTP

Sommaire: CloudLink : Rapports d’analyse de sécurité « Le serveur HTTPS distant n’applique pas la sécurité stricte du transport HTTP (HSTS) »

Cet article s’applique à Cet article ne s’applique pas à Cet article n’est lié à aucun produit spécifique. Toutes les versions de produits ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Symptômes

CloudLink : Rapports d’analyse de sécurité :

The remote HTTPS server is not enforcing HTTP Strict Transport Security (HSTS)
The remote HTTPS server does not send the HTTP "Strict-Transport-Security" header

HSTS est un en-tête de réponse facultatif qui peut être configuré sur le serveur pour indiquer au navigateur de ne communiquer qu’à l’aide de HTTPS. L’absence de HSTS permet des attaques de rétrogradation, des attaques de l’homme du milieu qui dénudent SSL et affaiblit les protections contre le détournement de cookies.

Cause

Il semble s’agir d’une fausse alarme signalée par l’outil de sécurité.

HSTS est activé par défaut sur CloudLink. 
Pour confirmer, affichez les en-têtes HTTP CloudLink dans Chrome, procédez comme suit : 
- Navigate to the Cloudlink UI login page.
- Right click on white empty space and select 'Inspect'.
- Select the 'Network' tab.
- Select one of the Cloudlink HTTP requests on the left panel.
- Match the response headers you're seeing to what we expect to see from the KB article

Résolution

La réponse HTTP contient tous les en-têtes et est définie par défaut par https://docs.spring.io/autorepo/docs/spring-security/4.2.3.RELEASE/reference/html/headers.html

            HTTP/1.1 200 OK
            Date: Fri, 22 May 2020 11:51:57 GMT
            Cache-Control: no-cache, no-store, max-age=0, must-revalidate
            Pragma: no-cache
            Expires: Thu, 01 Jan 1970 00:00:00 GMT
            Strict-Transport-Security: max-age=31536000 ; includeSubDomains
            X-XSS-Protection: 1; mode=block
            X-Frame-Options: SAMEORIGIN
            X-Content-Type-Options: nosniff
            Content-Type: text/html
            Last-Modified: Tue, 10 Sep 2019 17:33:22 GMT
            Accept-Ranges: bytes
            Vary: Accept-Encoding, User-Agent
            ETag: W/"C/NxCAz49KYC/NwZBDEXzM"
            Content-Length: 1349

Produits touchés

CloudLink SecureVM, CloudLink
Propriétés de l’article
Numéro d’article: 000181096
Type d’article: Solution
Dernière modification: 09 févr. 2026
Version:  5
Obtenez des réponses à vos questions auprès d’autre utilisateurs de Dell
Services de soutien
Vérifiez si votre appareil est couvert par les services de soutien.