資安

[資安]HSTS設定

你網站有https後這樣還不夠,大家還是希望要把http的連線都倒到https並且要在header上宣告才行

所以就有了HTTP強制安全傳輸技術(HSTS)

HSTS技術就是讓瀏覽器瀏覽網站時,強制使用HTTPS進行連線傳輸,因為HTTPS有SSL的關係,所以可以減少Client和Server連線時被攻擊的可能性,增加網站傳輸的安全性,而當網站開啟HSTS之後,瀏覽器在收到一個HTTP網站的載入請求時,就會自動轉換成HTTPS的方式載入,即使後來SSL失效,導致HTTPS無法使用,使用者也無法繼續瀏覽。

首先你需要在你的apache開啟的mod_headers模組(應該是在httpd.conf內),改好的話記得要重開

然後我是採用最簡單的方式,就是直接把設定寫在.htaccess內

	<IfModule mod_headers.c>
	    Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
	</IfModule>
	RewriteEngine On
	RewriteCond %{SERVER_PORT} 80
	RewriteRule ^(.*)$ https://aaa.davidou.org/$1 [R,L]

這樣就搞定拉

你可以在這網站 Check if HSTS is enabled – Geekflare Tools 上面測試一下有沒有過關

話說geekflare.com 其實還有不少的檢測tool可以用,到是不錯

Be the First to comment.

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

(若看不到驗證碼,請重新整理網頁。)