HTTP Strict Transport Security (HSTS)
Что такое HTTP Strict Transport Security (HSTS)?
HTTP Strict Transport Security (HSTS)Политика веб-безопасности, передаваемая HTTP-заголовком и указывающая браузеру обращаться к домену в течение заданного срока только по HTTPS.
HSTS, определённый в RFC 6797, передаётся через заголовок ответа Strict-Transport-Security. Получив этот заголовок, совместимый браузер запоминает политику и автоматически переводит все последующие запросы к этому хосту (и при желании к его поддоменам) на HTTPS, отказываясь подключаться при сбое TLS-рукопожатия или проверки сертификата. Это нейтрализует атаки SSL Stripping и подмену cookie в первых запросах. Лучшая практика — длительный max-age, директивы includeSubDomains и preload, а также включение домена в браузерный список HSTS preload, чтобы первый визит также был защищён.
● Примеры
- 01
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- 02
Банк подаёт корневой домен в список HSTS preload браузера Chromium.
● Частые вопросы
Что такое HTTP Strict Transport Security (HSTS)?
Политика веб-безопасности, передаваемая HTTP-заголовком и указывающая браузеру обращаться к домену в течение заданного срока только по HTTPS. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает HTTP Strict Transport Security (HSTS)?
Политика веб-безопасности, передаваемая HTTP-заголовком и указывающая браузеру обращаться к домену в течение заданного срока только по HTTPS.
Как защититься от HTTP Strict Transport Security (HSTS)?
Защита от HTTP Strict Transport Security (HSTS) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия HTTP Strict Transport Security (HSTS)?
Распространённые альтернативные названия: Strict-Transport-Security, Заголовок HSTS.