HTTP Strict Transport Security (HSTS) は、webアプリケーションのセキュリティを強化するために設計されたセキュリティプロトコルです。 このトピックでは、hstsプラグインを設定する方法について説明します。
プラグイン型
スロットルプラグイン。
説明
hstsプラグインは、特定の期間、HTTPSのみを使用してサーバーと通信できることをブラウザに通知するために使用されます。 HSTSと強制的なHTTPSリダイレクト機能の違いは、HSTSがブラウザに307されているステータスコードを直接使用して、追加のネットワークリクエストを実行せずにHTTPリクエストをHTTPSリクエストに変換できることです。
仕組み
hstsプラグインは、すべてのHTTPS応答にstrict-transport-securityヘッダーを追加します。 フィールド:
max_age: HTTPSを強制的に使用してWebサイトにアクセスする最大時間 (秒) 。include_sub_domains: 現在のドメイン名とサブドメイン名が強制的にHTTPSを使用してWebサイトにアクセスするかどうかを指定します。
フィールド
項目 | データ型 | 必須 / 任意 | デフォルト値 | 説明 |
max_age | 数値 | 非対象 | 15724800 | HTTPSを強制的に使用してWebサイトにアクセスする最大時間 (秒) 。 |
include_sub_ドメイン | bool | 非対象 | false | 現在のドメイン名とサブドメイン名が強制的にHTTPSを使用してWebサイトにアクセスするかどうかを指定します。 |
include_sub_domainsがtrueに設定されている場合、現在のドメイン名とサブドメイン名は強制的にHTTPSを使用してWebサイトにアクセスします。 すべてのサブドメイン名がHTTPSをサポートしていることを確認する必要があります。 それ以外の場合、ユーザーはサブドメインにアクセスできません。 include_sub_domainsをtrueに設定する前に、すべてのサブドメイン名がHTTPSをサポートするように設定することを推奨します。