问题描述：Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security，这将导致浏览器提供的安全特性失效。 当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 头时，浏览器将持续使用 HTTPS 来访问 Web 站点，可以用来对抗协议降级攻击和 Cookie 劫持攻击。

解决方法：修改we.config，给 HTTP 响应头加上 Strict-Transport-Security

<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload" />