Encabezados HTTP | Estricta-Transporte-Seguridad

HTTP Strict Transport Security (HSTS) es un mecanismo de política de seguridad web que ayuda a proteger los sitios web de actividades maliciosas e informa a los agentes de usuario y navegadores web cómo manejar su conexión a través de un encabezado de respuesta. Cada vez que un sitio web se conecta a través de HTTP y luego se redirige a HTTPS, se crea una oportunidad para un ataque de intermediario y la redirección puede llevar a los usuarios a un sitio web malicioso porque los usuarios primero tienen que comunicarse con la versión no cifrada de el sitio web. Un servidor implementa la política HSTS al proporcionar un encabezado a través de una conexión HTTPS que informa al navegador que cargue un sitio usando HTTPS en lugar de HTTP.

Sintaxis:

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; preload

Directivas:

  • <expire-time>: Menciona el tiempo en segundos durante el cual el agente de usuario o el navegador solo debe acceder al servidor de forma segura mediante HTTP.
  • includeSubDomains: Esto indica al navegador que aplique la regla a todas las páginas y subdominios del sitio también.
  • precarga: esto es necesario para la inclusión en la mayoría de las listas de precarga HSTS de los principales navegadores web.

Explicación: si un usuario escribe en una barra de direcciones http://www.geeksforgeeks.com/ o geeksforgeeks.com , esto creará la posibilidad de un ataque de intermediario. La redirección podría explotarse para dirigir a los visitantes a un sitio malicioso en lugar de a la versión segura del sitio original.

Ejemplos:

Strict-Transport-Security: max-age=3600; includeSubDomains

Todas las páginas y subdominios serán HTTPS por un tiempo máximo de 1 hora. Esto bloquea el acceso a páginas o subdominios que no se pueden servir a través de HTTPS.

Strict-Transport-Security: max-age=7200; includeSubDomains; preload

Todos los subdominios presentes y futuros serán HTTPS por un tiempo máximo de 2 horas. También tiene precarga como el sufijo que es necesario en la mayoría de las listas de precarga de HSTS de los principales navegadores web.

Para verificar esta seguridad de transporte estricta en acción, vaya a Inspeccionar elemento -> Red , verifique el encabezado de respuesta para Seguridad de transporte estricta como se muestra a continuación, la Seguridad de transporte estricta está resaltada como puede ver.

Navegadores compatibles: los siguientes navegadores son compatibles con HTTP Strict-Transport-Security.

  • Google Chrome 4.0
  • Internet Explorer 11.0
  • Firefox 4.0
  • Safari 7.0
  • Ópera 12.0

Publicación traducida automáticamente

Artículo escrito por harshcooldude700 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *