HSTS Preload — список доменов, встроенный прямо в браузеры (Chrome, Firefox, Safari, Edge). Все запросы на preloaded домены ВСЕГДА идут по HTTPS, даже при первом визите. Зарегистрироваться можно на hstspreload.org — нужен HSTS заголовок с includeSubDomains; preload; max-age ≥ 31536000. Ultimate HTTPS-защита.
Бесплатный онлайн-инструмент — сканер безопасности сайта: результат мгновенно, без регистрации.
HSTS Preload — список доменов, встроенный прямо в браузеры (Chrome, Firefox, Safari, Edge). Все запросы на preloaded домены ВСЕГДА идут по HTTPS, даже при первом визите. Зарегистрироваться можно на hstspreload.org — нужен HSTS заголовок с includeSubDomains; preload; max-age ≥ 31536000. Ultimate HTTPS-защита.
Чтобы добавить домен в HSTS Preload List, необходимо добавить соответствующий HTTP-заголовок на сервере. Для этого выполните следующие шаги:
Strict-Transport-Security с параметрами includeSubDomains, preload и max-age ≥ 31536000.Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"HSTS Preload List обеспечивает дополнительный уровень защиты для пользователей, гарантируя, что все запросы к предварительно загруженным доменам будут осуществляться по протоколу HTTPS. Это особенно важно в условиях растущего числа угроз в интернете.
Преимущества использования HSTS Preload List:
Использование HSTS Preload List помогает обеспечить более безопасное соединение между пользователем и сервером.
После добавления домена в HSTS Preload List через HTTP-заголовок, необходимо проверить, был ли домен успешно добавлен. Для этого можно использовать следующие методы:
Strict-Transport-Security на сервере.curl:curl -I https://example.comИнструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
аудит HTTP-заголовков
проверка конфигурации
CSP и HSTS настройка
соответствие стандартам
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)См. раздел применения выше. Для быстрой проверки — используйте нашу форму.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.