サイトをhttpsに変更し、.htaccessでリダイレクトを設定しました。しかし、Strict Transport Securityも設定しました。両方とも必要であるか有用であるか?301 .htaccessのリダイレクトとHSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=16070400"
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>
乾杯
http://www.example.comと入力した人にリダイレクトすると、https://www.example.comに移動します。デフォルトはhttpなので、プロトコルを終了してwww.example.comと入力するとhttp://www.example.comに行きますので、このリダイレクトが必要です。
これにはいくつか問題があります。
最初のhttpは安全ではなく、ネットワーク上の他の人が読んで変更することができます。それがhttpsを使うべき理由です。しかし、httpが安全でないため、リダイレクトを傍受してhttpバージョンを維持し、トラフィックを傍受し続ける可能性があります。代わりにhttps://www.evilexample.comにリダイレクトすることもできます。
HTTP厳密転送セキュリティ(またはHSTS)は、この問題に対処するセキュリティメカニズムです。あなたのサーバーは、ブラウザにといつもそのサイトのhttpsを使用するように指示します。プロトコルを入力しなくても(httpが通常使用される場合)、DOと入力しても、プロトコルはhttpとなります。
ブラウザにサイト用のHSTSが読み込まれると、HTTPリクエストを送信しなくても自動的にhttpsに変更されます。これにはいくつかの利点があります。
https://www.example.comに行くように言われています。また、別の回答として、この設定は、ブラウザが訪問者にこのサイトの証明書エラーをクリックさせないようにすることも意味します。 。httpだけで、サイトの一部を欠場することが明らかなく、簡単に思えるかもしれない - あなたのサイトがHTTPSのみにする必要がある
主な欠点があることですまたは、includeSubdomainオプションを使用している場合はhttpのサブドメイン。
HSTSがなぜ良いことであり、あなたが保持すべきものなのか、それがうまくいけば説明できます。リダイレクトの上に。
はい!あなたはそれらの両方を保つべきです。 OWASP docsから、HSTSを使用する多くの利点があります。例:
はHTTPリクエストをHTTPSに自動的にリダイレクトします。
無効な証明書メッセージを上書きしないようにします。
をそれは、301リダイレクトのような基本的ですが、ブラウザのレベルでは、むしろWebページのレベルより:
私はあなたが言うこのドキュメントhttps://varvy.com/pagespeed/hsts.htmlの表情を持つべきだと思います。 301リダイレクトは、常にhttpsのみを使用するように実装できるため、301リダイレクトよりも優れていますが、301リダイレクトはブラウザで最初に見たときに実際には安全ではありません。
ドキュメントを読んだら、それについて判断することができます。
ありがとうございました。私はすでにそれを見ましたが、それは有用です。 –
大丈夫、問題ありません – Aparna
ありがとうございます。私はそれをそのまま残します。私は確かにプリロードリストに自分のサイトを追加することを検討しますが、おそらくクライアントのためではありません。 –
正直言って、私はプリロードの大ファンではありません。私がここで説明したように:https://www.tunetheweb.com/blog/dangerous-web-security-features/ –
喜んでリストにサイトを追加する前にそれを読んでいます。どうもありがとう! –