| 名稱 | HSTS 標頭 |
| GPO | IIS |
| 類別 | 傳輸加密 |
| 描述 | ▪ 這項原則設定決定是否在 HTTP 回應標頭設定使用 HTTP 嚴格傳輸安全(HTTP Strict Transport Security,以下簡稱 HSTS) ▪ HSTS 主要用來宣告瀏覽器與伺服器之間的通訊方式必須強制使用 TLS/SSL 加密通道,只要從伺服器端送出一個HSTS標頭(Header) 給瀏覽器,就可以告訴瀏覽器在未來某段時間內一律使用 SSL 連接該網站(可設定包含所有子域名網站),如果有發生憑證失效之情況,使用者將無法瀏覽該網站,如此一來便可大幅減少中間人攻擊之問題發生 |
| 設定 | ▪ IIS 管理員\伺服器\IIS\HTTP 回應標頭\動作\開啟功能\新增 ▪ 名稱:Strict-Transport-Security ▪ 值:max-age=480 (已使用 HTTPS 連線的網站 480 秒內不再檢查) GCB 設定值: 名稱:Strict-Transport-Security 值:max-age 設為 480 以上 |