Enable HTTP Strict Transport Security (HSTS)

HTTP Strict Trnasport Security는 중요한 보안 정책방법이다. 서버가 HTTP의 간단한 헤더를 통하여 브라우저가 따라야 할 접근 규칙을 선언하는 것이다. 특히 user-agen는 아래와 같은 규칙을 명명할 수 있따.

• 서버를 향하는 모든 규칙들은 HTTPS를 통해 보내져야 한다. 네비게이션과 다른 요청들을 포함한다. 만약 사용자가 URL을 https를 붙이지 않고 입력하는 경우라면 user agent는 자동적으로 https 요청으로 바꾼다. 만약 페이지가 https가 아닌 자원을 참조한다면 user agent는 자동적으로 request를 https 버전으로 전환한다.

• 보안 연결을 할수 없다면 사용자는 경고를 피할수 없고, HTTP 버전을 요청해야한다.

• max-age HSTS 규칙이 명시된 주기를 나타낸다. 예를들어 max-age=31536000 은 365일동안 알려진 정책이 유지되는 것이다.

• includeSubdomina은 현재 서버의 모든 서브 도메인에도 동일한 정책이 적용되는 것을 나타낸다.

HSTS는 서버를 HTTPS 만 지원하는 것으로 바꾸고 다양한 네트워크 공격자들로 부터 응용프로그램을 보호하게 해준다. 추가적으로 HTTP를 HTTPS로 리다이렉트 시킬 필요를 없애므로 좋은 성능 최적화를 제공한다. Client가 자동적으로 모든 요청들을 HTTPS로 다시 요청해야한다.