HTTP Strict Transport Security (HSTS)
O que é HTTP Strict Transport Security (HSTS)?
HTTP Strict Transport Security (HSTS)Política de segurança web enviada num cabeçalho HTTP que instrui o navegador a aceder a um domínio apenas via HTTPS durante o período declarado.
O HSTS, definido no RFC 6797, é sinalizado pelo cabeçalho de resposta Strict-Transport-Security. Quando um navegador compatível recebe este cabeçalho, memoriza a política e atualiza automaticamente qualquer pedido futuro para esse host (e, opcionalmente, os seus subdomínios) para HTTPS, recusando-se a estabelecer ligação se o handshake TLS ou a validação do certificado falharem. Esta medida neutraliza ataques de SSL stripping e injeção de cookies nas requisições iniciais. As boas práticas combinam um max-age elevado, a diretiva includeSubDomains, a diretiva preload e a submissão do domínio à lista HSTS preload do navegador para proteger também a primeira visita.
● Exemplos
- 01
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- 02
Um banco submete o seu domínio principal à lista HSTS preload do Chromium.
● Perguntas frequentes
O que é HTTP Strict Transport Security (HSTS)?
Política de segurança web enviada num cabeçalho HTTP que instrui o navegador a aceder a um domínio apenas via HTTPS durante o período declarado. Pertence à categoria Segurança de rede da cibersegurança.
O que significa HTTP Strict Transport Security (HSTS)?
Política de segurança web enviada num cabeçalho HTTP que instrui o navegador a aceder a um domínio apenas via HTTPS durante o período declarado.
Como se defender contra HTTP Strict Transport Security (HSTS)?
As defesas contra HTTP Strict Transport Security (HSTS) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para HTTP Strict Transport Security (HSTS)?
Nomes alternativos comuns: Strict-Transport-Security, Cabeçalho HSTS.