HTTP Strict Transport Security (HSTS) es un mecanismo de política de seguridad web que ayuda a proteger los sitios web contra ataques de degradación de protocolo y secuestro de cookies
Si nos hacemos una pregunta, ¿es HSTS una seguridad adicional sobre HTTPS? Entonces la respuesta es sí.
si está utilizando SSL en todo el sitio, definitivamente recomiendo habilitar HSTS
- ¿Qué hacían las personas antes que los teléfonos celulares?
- Si el almacenamiento de energía no fuera un problema, ¿qué tecnología proporcionaría una mejor potencia / velocidad en un vehículo (automóvil, avión, bote, etc.), un motor eléctrico o un motor de combustible fósil?
- ¿Por qué no se unen Microsoft y Apple?
- La subcontratación es ineficiente, entonces, ¿de qué manera la subcontratación emerge en el régimen de mercado que se supone que es eficiente?
- Hogar digital: "¿Por qué los altavoces de Bose son pequeños pero tienen una gran fidelidad y rendimiento?"
HSTS es una medida de seguridad importante para derrotar los ataques de intermediarios que cambian al usuario a HTTP y luego lo atacan. Por ejemplo, sslstrip es una herramienta bien conocida para montar dicho ataque. Para más detalles sobre este tipo de ataque
HSTS le dice al navegador: nunca use HTTP con este sitio. Solo acceda a través de HTTPS. Por lo tanto, para habilitar HSTS, debe asegurarse de que su sitio funcione con HTTPS y solo HTTPS. Esto incluye todo: HTML, CSS, Javascript, todo. Asegúrese de que todo el CSS y Javascript en su sitio esté disponible a través de HTTPS. Además, le sugiero que convierta sus páginas para hacer referencia a todo a través de HTTPS
Por ejemplo, supongamos que su sitio es www.example.com
y tiene una página https://www.example.com/buy.html
que incluye algunos Javascript de su sitio. Debe asegurarse de que su archivo Javascript esté disponible en una URL HTTPS (por ejemplo, https://www.example.com/library.js
). Le recomiendo que lo cargue a través de una URL HTTPS (por ejemplo, ).
PD: También le recomiendo que establezca el indicador de secure
en todas las cookies que utiliza.