사이트를 https로 변경했으며 .htaccess에서 리디렉션을 설정했습니다. 하지만 Strict Transport Security도 설정했습니다. 둘 다 필요하거나 유용합니까?301 리디렉션 및 .htaccess의 HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=16070400"
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>
건배
http://www.example.com을 입력하는 사람들에게 https://www.example.com으로 가도록 지시합니다. 기본값은 http이므로 프로토콜을 사용하지 않고 www.example.com을 입력하면 http://www.example.com으로 이동하므로이 리디렉션이 필요합니다.
그래도 문제가 있습니다.
첫 번째 http는 안전하지 않으며 네트워크상의 다른 사용자가 읽고 변경할 수 있습니다. 이것이 https를 사용해야하는 이유입니다. 그러나 http가 안전하지 않으므로 리디렉션을 가로 채고 http 버전을 유지하고 트래픽을 계속 차단할 수 있습니다. 또는 대신 https://www.evilexample.com으로 리디렉션 할 수도 있습니다.
HTTP 엄격한 전송 보안 (또는 HSTS)은이 문제를 해결하기위한 보안 메커니즘입니다. 귀하의 서버는 브라우저에 으로 항상을 사용하여 해당 사이트에 대해 https를 사용합니다. 프로토콜을 입력하지 않더라도 (http가 일반적으로 사용될 때) DO과 같이 프로토콜을 http로 입력해도됩니다.
브라우저가 사이트에 대해 HSTS를로드하면 HTTP 요청을 전혀 보내지 않고 대신 자동으로 https로 변경합니다. 여기에는 몇 가지 장점이 있습니다.
http://www.example.com에게 요청을 보내면 시간이 낭비되지 않으므로 https://www.example.com으로 가야합니다.또 다른 답변으로,이 설정은 브라우저가 방문자가이 사이트의 인증서 오류를 클릭하여 공격에 대한 추가 보안을 강화할 수 없음을 의미합니다. 분명하지만 쉽게 만 HTTP에 사이트의 일부를 그리워하는 것처럼 보일 수있는 -
주요 단점은 있습니다. 또는 includeSubdomain 옵션을 사용하는 경우 http의 하위 도메인입니다.
HSTS가 왜 좋은지와 왜 당신이 지켜야 하는지를 잘 설명합니다. 리디렉션 위에.
예! 둘 다 지켜야합니다. OWASP docs에는 HSTS를 사용하는 데 많은 혜택이 있습니다. 예 :
은 자동으로 HTTP 요청을 HTTPS로 리디렉션합니다.
사용자가 잘못된 인증서 메시지를 무시하지 못하도록합니다.
나는 당신이 말하는이 문서 https://varvy.com/pagespeed/hsts.html에보고해야한다고 생각 :
그것은 301 리디렉션처럼 기본적으로,하지만 브라우저 수준이 아닌 웹 페이지 수준에서. 301 리다이렉트는 브라우저에서 처음 볼 때 301 리디렉션이 실제로 보안되지 않는 반면 항상 https 만 사용하도록 구현 될 수 있기 때문에 301 리디렉션보다 월등합니다.
설명서를 읽은 후 결정할 수 있습니다.
감사합니다. 나는 이미 그것을 보았지만 유용합니다. –
괜찮습니까, 문제 없어요 – Aparna
감사합니다. 나는 그대로 두겠습니다. 나는 확실히 사전로드 목록에 내 사이트를 추가하는 것을 고려할 것이지만 아마도 어떤 클라이언트도 고려하지 않을 것입니다. –
완벽하게 솔직히 말해서 나는 프리 로딩의 방대한 팬이 아니다. 여기에서 설명했듯이 : https://www.tunetheweb.com/blog/dangerous-web-security-features/ –
목록에 사이트를 추가하기 전에 글을 읽었습니다. 많은 감사합니다! –