Безопасность Заголовок ответа сервера - Strict Transport Security

  • Thread starter Underground Forum
  • Start date
  • Tags
    сервер

Заголовок Strict Transport Security​


Strict Transport Security (HSTS) - это заголовок, который сообщает браузеру о том, что ему никогда и ни при каких обстоятельствах не следует загружать сайт посредством HTTP. Данная технология позволяет обезопасить пользователя от аттак злоумышленников. При правильной настройке HSTS, даже во время первой загрузки сайта будет использоваться только безопасное соединение.
Strict-Transport-Security не будет работать, если на ваш сайт можно загрузить через HTTP. Следовательно, для корректной работы HSTS ваш сайт обязательно должен быть доступен по HTTPS соединению, а SSL сертификат установлен без ошибок.

Директивы​

max-age - сообщает браузеру время действия HSTS в секундах.
includeSubDomains - применяет HSTS не только к основному домену, но и ко всем имеющимся поддоменам.
preload - сообщает браузеру о том, что сайт добавлен в Preload List.

Использование HSTS в nginx.conf (NGINX):
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

Использование HSTS в httpd.conf (Apache):
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Использование HSTS в .htaccess:
<ifModule mod_headers.c>
    Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</ifModule>
 
Last edited:
P

Plover

  • #2
Можно ещё через пыху <?php header("Strict-Transport-Security: max-age=31536000; includeSubDomains"); ?>
 
Top