AppSync:远程 HTTPS 服务器不发送 HTTP Strict-Transport-Security (HSTS) 标头。脆弱性
摘要: Tenable Nessus 报告 AppSync 服务器上端口 8444 的错误警报。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Tenable Nessus 错误地报告端口 8444 的以下消息,而该端口不存在 CVE:
The remote web server is not enforcing HSTS, as defined by RFC 6797. HSTS is an optional response header that can be configured on the server to instruct the browser to only communicate via HTTPS. The lack of HSTS allows downgrade attacks, SSL-stripping man-in-the-middle attacks, and weakens cookie-hijacking protections.
原因
非戴尔软件报告错误的安全警报。
解决方案
AppSync 工程部门确认这是误报,并向客户保证,在启用 HSTS 的情况下,AppSync 在端口 8444 或 8445 上发布的 API 受到保护。
其他信息
HTTP 严格传输安全 (HSTS) 是一种简单且得到广泛支持的标准,通过确保访问者的浏览器始终通过 HTTPS 连接到网站来保护访问者。
下面是 AppSync 重定向到的 URL,它自动使用 HTTPS。
下面是 AppSync 重定向到的 URL,它自动使用 HTTPS。
Copyof URL address https: //AppSync01:8444/auth/realms/appsync/protocol/openid-connect/auth?client_id=appsync_ ...
受影响的产品
AppSync文章属性
文章编号: 000217002
文章类型: Solution
上次修改时间: 18 9月 2025
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。