Безопасность
Strict-Transport-Security
Указывает браузерам обращаться к сайту только по HTTPS, защищая от атак понижения протокола и перехвата cookie.
Синтаксис
Strict-Transport-Security: max-age=<секунды>; includeSubDomains; preloadПример
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadОписание
Заголовок Strict-Transport-Security (HSTS) сообщает браузерам использовать только HTTPS. После получения браузер автоматически преобразует все HTTP-запросы в HTTPS на указанный период.
Директива max-age задаёт время (в секундах) обязательного HTTPS. includeSubDomains распространяет политику на поддомены. preload позволяет включить домен в список предзагрузки HSTS.
HSTS необходим для предотвращения атак «человек посередине», SSL stripping и перехвата cookie.
Проверьте, правильно ли ваш сайт отправляет этот заголовок
Проверить заголовки →