資安

[資安]HTTP Strict Transport Security (HSTS) not implemented

HTTP Strict Transport Security (HSTS) not implemented 就是啟用 HTTP 嚴格傳輸安全 (HSTS)

HSTS 預加載

通過將 Strict Transport Security 標頭添加到您的站點,您可以保護訪問者的每次訪問,但首次訪問除外。這仍然使您的網站在初次訪問時容易受到 MITM(中間人)攻擊,因此有一種稱為“預加載”的技術可以將您的網站添加到預先填充的域列表中。

一旦您的網站在該列表中,支持 HSTS 預加載的主要瀏覽器將被通知您的網站需要 SSL,並且每次訪問,甚至是訪問者的第一次訪問,都將自動強制通過 SSL。

設定這個很簡單,只要你在你的php程式上面新增下面這一行即可,你可以把它直接設定在全域的config檔來include,或是你網站上每一個頁面都新增也可以,當然前提是你的網站要有https

header( 'Strict-Transport-Security: max-age=31536000; includeSubdomains; preload');

設定好後你就可以看到如下圖這樣

或是你直接開啟apache的mod_headers模組,並在.htaccess新增下列規則

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
</IfModule>

之後你就可以透過下面這網站檢查也可以hstspreload,不過這網站只接受整個domain一起檢查就是,單獨的網址他一定會給紅色錯誤說他要檢查整個domain

或是透過Check if HSTS is enabled – Geekflare Tools 也可以

Be the First to comment.

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

(若看不到驗證碼,請重新整理網頁。)