, мы хотели бы добавить заголовок HSTS на нашу страницу https://www.wipfelglueck.de Наша страница работает на общем сервере, поэтому у нас нет доступа к httpd.conf. Мы попытались включить этот заголовок через файл .htaccess следующим образом:
<ifmodule mod_headers.c>
DefaultLanguage de
Header set X-XSS-Protection "1; mode=block"
Header set X-Frame-Options "sameorigin"
Header set X-Content-Type-Options "nosniff"
Header set X-Permitted-Cross-Domain-Policies "none"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set Referrer-Policy: no-referrer
<FilesMatch "\.(js|css|xml|gz)$">
Header append Vary Accept-Encoding
</FilesMatch>
<filesMatch ".(ico|jpg|jpeg|png|gif|webp)$">
Header set Cache-Control "max-age=2592000, public"
</filesMatch>
<filesMatch ".(css|js|json|html)$">
Header set Cache-Control "max-age=604800, public"
</filesMatch>
</IfModule>
Когда мы проверяем страницу, мы получаем предупреждение в теме с таким текстом: «Страница HTTP по адресу http://wipfelglueck.de отправляет заголовок HSTS. Это не влияет на HTTP, и его следует удалить»
Я пробовал несколько способов решить эту проблему, но не смог пока успешно. В Интернете я не могу найти решение, поэтому я был бы рад, если бы вы мне намекнули по этому поводу!
Большое спасибо !!
Большое спасибо за ваш ответ! В заголовке:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
или
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
ошибки нет, страница запускается, но когда я проверяю страницу, упоминается эта ошибка:
Error: No HSTS header
Response error: No HSTS header is present on the response.
Это странно. Что я сделал не так?
Вы можете условно установить заголовки, используя env=
Header always set Strict-Transport-Security "..." env=HTTPS
(вы можете использовать как always
, так и env=
одновременно, первый фильтрует только по статусу ответа)
При этом не оптимизируйте для контрольных показателей или галочек соответствия. Этот заголовок ничего не делает, забота о нем просто отвлекает внимание от того, что имеет эффект. Этот заголовок просто не действует, если он не отправляется через защищенный транспорт, но поскольку в наши дни (почти) все запросы с открытым текстом должны просто перенаправляться на https://
, это верно для (почти) любого заголовка ответа в http://
.