HTTP Strict-Transport-Security response header
- HTTP 대신 HTTPS만을 사용하여 통신해야 한다고 웹 사이트에 브라우저가 알리는 보안 기능
- HTTP 요청을 받고 301이나 302 응답을 통해 HTTPS로 리다이렉트 하는 경우에 리다이렉트 되기 이전의 암호화 되지 않은 버전의 사이트와 통신하게 된다.
- HSTS 헤더는 HTTP로 연결하려는 모든 시도는 자동으로 HTTPS로 변경해야 한다고 알린다.
- preload 설정 시 최초 통신부터 HTTPS로 설정된다
- preload가 설정된 주소에 HTTP로 접속하려 하는 경우 307 응답으로 HTTPS가 적용된 페이지로 내부 재 전송 한다
HSTS Preload List란
- HSTS가 적용된 웹 사이트의 명단을 모아둔 리스트 정보
- 아래 가이드를 준수하면 자동으로 등록된다.
- 유효한 SSL 인증서를 사용한다.
- 80포트를 사용한다면, HTTP 접속 시 동일한 호스트의 HTTPS로 재전송되는 로직을 사용한다.
- 모든 하위 도메인들도 HTTPS를 사용한다.
- HTTPS 요청 시 HSTS 관련 헤더들은 일정 규칙을 준수한다.
'Web' 카테고리의 다른 글
[SQL Injection] Pentesterlab 문제 풀이1 (0) | 2022.11.02 |
---|---|
[SQL Injection] 종류 및 Prepared Statement (0) | 2022.11.01 |