HSTS (Strict-Transport-Security)

Заголовок, заставляющий браузер всегда подключаться к сайту только по HTTPS.

СигнатураHTTP Strict Transport Security

HSTS — заголовок, который предписывает браузеру обращаться к сайту исключительно по HTTPS в течение указанного времени. Это закрывает атаки с понижением протокола и перехватом первого HTTP-запроса.

Как применять: добавьте заголовок только после того, как весь сайт стабильно работает по HTTPS; начните с небольшого max-age, затем увеличьте; при готовности добавьте includeSubDomains и preload.

# Включаем HSTS на год для всех поддоменов
response.headers["Strict-Transport-Security"] = (
    "max-age=31536000; includeSubDomains; preload"
)

← Все записи: Веб-уязвимости и защита