fbpx

Kako da koristim HSTS?

Path:
< Sve teme

HSTS možete koristiti i kada koristite sigurnu vezu putem HTTPS-a. HSTS je sigurnosni mehanizam koji štiti https web stranice od napada na protokol nadogradnje. Ovo sprečava bilo kakvu nesigurnu vezu.

Important

U ovom članku koristimo datoteku .htaccess za automatsku upotrebu HSTS-a. Ovu datoteku morate postaviti po web lokaciji (tj. Po domeni i poddomeni). Važno je da već forsirate HTTPS. Kôd o kojem raspravljamo u ovom članku stavljate pod pravila prisiljavanja HTTPS-a.

Za više informacija pogledajte : How do I automatically use HTTPS?

Steps

Step 1. Slijedite korake 1 do 4 korak-po-korak plana za HTTPS i nastavite s donjim korakom.

Korak 2a . Zalijepite sljedeći kod u .htaccess datoteku:


<IfModule mod_headers.c>
 Zaglavlje uvijek postavi Strict-Transport-Security "max-age = 31536000; includeSubDomains" env = HTTPS
 set zaglavlja X-Frame-Options "ALLOW-FROM SAMEORIGIN"
 Set zaglavlja X-Content-Type-Options nosniff
 Header postavite X-XSS-Protection "1; mode = block"
 Header set Referrer-Policy "no-referrer-when-downgrade"
 Header always edit Set-Cookie (. *) "$ 1; HTTPOnly; Secure"
</IfModule>

Korak 2b (opcionalno) . Content-Security-Policy je dodatni sigurnosni sloj koji ukazuje koje se vanjske skripte mogu učitati na web stranicu. Sve vanjske skripte koje se pozivaju, ali nisu ovdje definirane, možda se neće učitati. To se može učiniti dodavanjem sljedećeg koda u datoteku .htaccess:


<IfModule mod_headers.c>
Set zaglavlja Content-Security-Policy "default-src 'self'"
</IfModule>

Napomena: To znači da sve vanjske skripte poput Google analitike, Cloudflare-a, vanjskog CSS-a i drugih usluga više neće raditi ako ih ručno ne dodate u zapis kao što su:


Set zaglavlja Content-Security-Policy "default-src 'self' www.google-analytics.com * .cloudflare.com * .gstatic.com captcha.totaalholding.nl;"


Step 3. U gornjem desnom kutu kliknite Spremi promjene. Web pregledači sada će moći koristiti samo sigurne HTTPS veze, a nikada nesigurni HTTP protokol.

Da biste testirali rezultat, možete koristiti provjeru kao što je securityheaders.com .

Objašnjenje HSTS

U nastavku objašnjavamo rad redaka koda koji se pojavljuju između oznaka IfModule u koraku 2a. Linija 1 je dakle o “Header always set Strict -…”, Line 2 about “Header set X-Frame-Options DENY”, itd.

Redak 1: Omogućite HSTS na domeni tako da se uvijek učitava preko HTTPS-a. To se također odnosi na poddomene pod uvjetom da se kod tamo primjenjuje u htaccessu. Na max-age = 31536000 setova ovo za 1 godinu . Možete to prilagoditi na primjer 2 godine promjenom broja u 63072000 .

Red 2: Sprečava da vaše web mjesto bude zatvoreno u <frame>, <iframe> ili <object>. Ako vaše web mjesto ovisi o ovome, najbolje je izostaviti ovo pravilo.

Red 3: Njuškanje tipa MIME je onemogućeno, to na primjer sprječava Internet Explorer da izvrši .img url kao javascript.

Redak 4: Omogućite IE8 i IE9 XSS alate za prevenciju, ovo sprečava skriptiranje na više lokacija.

Redak 5: Osigurava da kada posjetitelj klikne na vezu do http web stranice, HTTPS URL web stranice nije uključen. To bi inače bila sigurnosna ranjivost jer se put HTTPS URL sheme URL-a šalje nesigurnim putem Interneta.

6. red: Svrha sigurne zastavice je spriječiti da neovlaštene strane gledaju kolačiće jer se kolačić šalje nezaštićen.

< Kako mogu stvoriti besplatni SSL certifikat pomoću Let's Encrypt?
> How do I automatically use HTTPS?
Content

Request an offer

Initiating a meeting