GlobalProtect HTTP 缺少的头包括严格运输安全中的子域
16986
Created On 08/03/21 03:08 AM - Last Modified 01/21/22 22:48 PM
Symptom
在对门户执行漏洞评估 VA () 时 GlobalProtect ,严格传输安全不包括包含的子域参数。 这通常会触发报告过程中的误报。
Cause
Globalprotect FQDN 门户因门户而异,并根据每个组织的域注册/授权手动定义。 因此,在严格运输安全中定义了不包括子域。
说明:
包括子域是一个可选属性,包括 HTTPS 对所有子域的支持。 这是一个可选的要求。
GlobalProtect 将执行 HTTPS 每当重定 HTTP 向请求到门户,以符合 HTTP 严格的运输安全 HSTS ()。
- 当首次通过访问托管 GlobalProtect 门户时 HTTP ,服务器(门户)将响应301永久移动到 HTTPS 站点
- 随后,访问相同的请求 HTTP 将允许浏览器重定向请求,自启用以来,已启用 307 重定 HSTS 向
- 后续 HTTP 请求将不会转发到 Firewall ( GP 门户)
- 浏览器将记住最初请求,该请求不会在"最大年龄"的长度内将请求转发给服务器
- 注: 同样的方法不会适用于所有亚多曼。
包含的子域指令与 GlobalProtect 此无关,因为它不是静态定义的托管网站。
Resolution
没有解决,这是预期的行为。
Additional Information
要验证 HTTP 标题 GlobalProtect ,请在访问门户时使用卷曲/wget 命令或导航到浏览器的开发人员工具 GlobalProtect 。