관리 메뉴
의미없는 블로그
[Appscan] HTTP Strict-Transport-Security (HSTS) 본문
HTTPS 로만 접속 시키는거
Strict-Transport-Security: max-age=31536000 ; includeSubDomains; preload
응답 헤더 설정
31536000 : HSTS 응답을 받는 웹 사이트에 대해서 최초 접속 후 1년 동안 브라우저에서 강제화
includeSubDomains : 하위 도메인도 포함
preload : preload 옵션은 크롬 HSTS preload 리스트에 등록하는 것이므로 내부망에는 불필요
HSTS 헤더가 없어도 http > https 자동 변환 되는데 왜 HSTS 헤더를 설정해야돼?
첫 번째 요청에 대한 보호: 사용자가 처음 웹사이트에 접속할 때, HTTP 요청을 보낼 수 있기 때문에 서버에서 HTTPS로 리디렉션을 설정하는 것은 안전하지 않을 수 있습니다. HSTS 헤더가 설정되어 있으면, 브라우저가 서버로부터 받은 HSTS 정보를 기반으로, 첫 번째 요청부터 HTTPS로 자동 연결됩니다.
첫번째 요청을 http 로 보내면
민감한 파라미터 포함되어있다고 가정하면 wireshark 에 잡히자나
HSTS 헤더 설정되어 있으면
첫번째 요청도 HTTPS 로 됨
Comments