HSTS (HTTP Strict Transport Security), web sitelerinin ziyaretçileriyle iletişim kurarken yalnızca güvenli HTTPS bağlantılarını kullanmasını sağlayan bir web güvenlik mekanizmasıdır. Basitçe, bir web sitesi tarayıcıya HSTS başlığını göndererek, o siteye yapılan tüm gelecekteki HTTP isteklerinin otomatik olarak HTTPS'ye yönlendirilmesini "söyler". Bu, SSL Stripping gibi saldırıları engellemeye yardımcı olur.
Temel İşleyiş Prensibi:
Strict-Transport-Security
başlığını gönderir. Bu başlık, tarayıcıya belirli bir süre boyunca ( max-age
direktifi ile belirtilir) siteye yalnızca HTTPS üzerinden erişmesi gerektiğini bildirir.HSTS'nin Sağladığı Avantajlar:
HSTS Başlığı Direktifleri:
max-age=<saniye>
: Tarayıcının HSTS politikasını ne kadar süreyle hatırlaması gerektiğini belirtir (saniye cinsinden).includeSubDomains
: Bu direktif eklendiğinde, HSTS politikası ana alan adı ve tüm alt alan adları için geçerli olur.preload
: Web sitesinin HSTS politikasının tarayıcıların önceden yüklenmiş HSTS listesine eklenmesini talep eder. Bu, ilk ziyarette bile koruma sağlar. Bu ön yükleme işlemi HSTS Preload listeleri üzerinden yapılır.Örnek HSTS Başlığı:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Bu başlık, tarayıcıya bir yıl boyunca (31536000 saniye), ana alan adı ve tüm alt alan adları için yalnızca HTTPS kullanması gerektiğini ve HSTS ön yükleme listesine eklenmek istendiğini bildirir.
Dikkat Edilmesi Gerekenler:
max-age
değerini kademeli olarak artırın. Başlangıçta daha kısa bir süre belirleyip, zamanla artırabilirsiniz.preload
direktifini kullanmadan önce HSTS politikanızın doğru şekilde yapılandırıldığından emin olun.max-age
değerini 0 olarak ayarlayabilirsiniz.Ne Demek sitesindeki bilgiler kullanıcılar vasıtasıyla veya otomatik oluşturulmuştur. Buradaki bilgilerin doğru olduğu garanti edilmez. Düzeltilmesi gereken bilgi olduğunu düşünüyorsanız bizimle iletişime geçiniz. Her türlü görüş, destek ve önerileriniz için iletisim@nedemek.page