Для включения HSTS: добавьте заголовок Strict-Transport-Security: max-age=31536000; includeSubDomains; preload в nginx (add_header) или Apache (Header set). Для попадания в hstspreload.org — все subdomains тоже должны отдавать HSTS и HTTPS.
Бесплатный онлайн-инструмент — сканер безопасности сайта: результат мгновенно, без регистрации.
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"Для включения HSTS на сайте с использованием Nginx, выполните следующие шаги:
sudo nano /etc/nginx/sites-available/default.add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload';sudo systemctl restart nginx.Чтобы проверить, что HSTS включён на вашем сайте, выполните следующие действия:
curl или расширения для браузеров.Strict-Transport-Security с параметрами max-age, includeSubDomains и preload.Пример команды для проверки с помощью curl:
curl -I ваш_сайт.com | grep Strict-Transport-SecurityДля включения HSTS на сайте с использованием Apache, выполните следующие шаги:
sudo nano /etc/apache2/sites-enabled/000-default.conf.Header set Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload'sudo systemctl restart apache2.После выполнения этих шагов, ваш сайт будет использовать HSTS, обеспечивая безопасное соединение для пользователей.
Инструмент проверяет HTTP-заголовки безопасности, конфигурацию SSL/TLS, утечки серверной информации и защиту от распространённых атак (XSS, clickjacking, MIMEsniffing). Оценка от A до F показывает общий уровень защиты.
Проверка Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и других.
Версия TLS, срок сертификата, цепочка доверия, поддержка HSTS.
Поиск раскрытых серверных версий, debug-режимов, открытых конфигов и директорий.
Детальный отчёт с объяснением каждой проблемы и конкретными шагами для исправления.
аудит HTTP-заголовков
проверка конфигурации
CSP и HSTS настройка
соответствие стандартам
Strict-Transport-Security.Server: Apache/2.4.52 помогает атакующим подобрать эксплойт. Скройте версию.DENY или SAMEORIGIN.nosniff браузер может интерпретировать файлы неправильно (MIME sniffing).Content-Security-Policy-Report-Only, мониторьте нарушения, затем включите.Server, X-Powered-By, X-AspNet-Version из ответов.История security-проверок и мониторинг HTTP-заголовков безопасности.
Зарегистрироваться (FREE)Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.