HTTP Strict Transport Security (HSTS)
Qu'est-ce que HTTP Strict Transport Security (HSTS) ?
HTTP Strict Transport Security (HSTS)Politique de sécurité web diffusée via un en-tête HTTP qui ordonne au navigateur d'accéder à un domaine uniquement en HTTPS pendant une durée déclarée.
HSTS, défini par le RFC 6797, est signalé par l'en-tête de réponse Strict-Transport-Security. Lorsqu'un navigateur compatible reçoit cet en-tête, il mémorise la politique et met automatiquement à niveau toute requête future vers cet hôte (et, en option, ses sous-domaines) vers HTTPS, refusant la connexion si le handshake TLS ou la validation du certificat échoue. Cela neutralise les attaques SSL stripping et l'injection de cookies sur les requêtes initiales. Les bonnes pratiques combinent un max-age long, la directive includeSubDomains, la directive preload et la soumission du domaine à la liste de préchargement HSTS du navigateur afin de protéger également la toute première visite.
● Exemples
- 01
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- 02
Une banque inscrit son domaine apex à la liste de préchargement HSTS de Chromium.
● Questions fréquentes
Qu'est-ce que HTTP Strict Transport Security (HSTS) ?
Politique de sécurité web diffusée via un en-tête HTTP qui ordonne au navigateur d'accéder à un domaine uniquement en HTTPS pendant une durée déclarée. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie HTTP Strict Transport Security (HSTS) ?
Politique de sécurité web diffusée via un en-tête HTTP qui ordonne au navigateur d'accéder à un domaine uniquement en HTTPS pendant une durée déclarée.
Comment se défendre contre HTTP Strict Transport Security (HSTS) ?
Les défenses contre HTTP Strict Transport Security (HSTS) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de HTTP Strict Transport Security (HSTS) ?
Noms alternatifs courants : Strict-Transport-Security, En-tête HSTS.