Заголовок Strict Transport Security
Strict Transport Security (HSTS) - это заголовок, который сообщает браузеру о том, что ему никогда и ни при каких обстоятельствах не следует загружать сайт посредством HTTP. Данная технология позволяет обезопасить пользователя от аттак злоумышленников. При правильной настройке HSTS, даже во время первой загрузки сайта будет использоваться только безопасное соединение.
Strict-Transport-Security не будет работать, если на ваш сайт можно загрузить через HTTP. Следовательно, для корректной работы HSTS ваш сайт обязательно должен быть доступен по HTTPS соединению, а SSL сертификат установлен без ошибок.
Директивы
max-age - сообщает браузеру время действия HSTS в секундах.includeSubDomains - применяет HSTS не только к основному домену, но и ко всем имеющимся поддоменам.
preload - сообщает браузеру о том, что сайт добавлен в Preload List.
Использование HSTS в nginx.conf (NGINX):
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
Использование HSTS в httpd.conf (Apache):
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</ifModule>
Last edited: