https://opennet.dev/openforum/vsluhforumID3/105173.html Протокол HSTS (HTTP Strict Transport Security) позволяет администратору сайта указать на необходимость обращения только по HTTPS и автоматизировать проброс на HTTPS при изначальном обращении по ссылке на HTTP. Управление производится при помощи HTTP-заголовка Strict-Transport-Security, который выдаётся при обращении по HTTPS (при выдаче по HTTP заголовок игнорируется) и указывает браузеру на необходимость оставаться в зоне HTTPS даже при переходе по ссылкам "http://". Замена http:// на https:// будет автоматически выполняться при обращении к защищаемому ресурсу с внешних сайтов, а не только для внутренних ссылок.<br><br>Использование в Apache:<br><br>При помощи mod_headers устанавливаем для HTTPS-блока виртуального хоста заголовок Strict-Transport-Security (max-age - срок действия (1 год), includeSubdomains - распространять замену http:// на https:// для всех поддоменов; preload - занести в поддерживаемый браузером статический список).<br>Дополнительно устанавливаем заголовок "X-Frame-Options: DENY" для запрета встраив https://opennet.dev/openforum/vsluhforumID3/105173.html#16 Wed, 23 May 2018 14:58:29 GMT Я использовал отличную статью по покупке и настройке https на nginx <br>https://onlinebd.ru/blog/instrukciya-po-nastroike-https-dlya-php-fpm-s-ocenkoi-a<br>Полная инструкция по настройке HTTPS с оценкой А+<br> https://opennet.dev/openforum/vsluhforumID3/105173.html#14 Sat, 02 Apr 2016 20:16:03 GMT max-age=63072000 - не слишком ли много на два года?<br>Что за бездумный копипаст<br>Сделайте на месяц 2592000 секунд<br> https://opennet.dev/openforum/vsluhforumID3/105173.html#13 Sun, 13 Dec 2015 14:27:21 GMT Ага, особенно с учетом того, что на проксе это выбивается в одно действие. Достаточно просто заголовки подменить.<br> https://opennet.dev/openforum/vsluhforumID3/105173.html#12 Tue, 08 Dec 2015 19:41:23 GMT у меня не хотело работать без [R=301,L]<br><br>&lt;IfModule mod_rewrite.c&gt;<br>RewriteEngine On<br>RewriteCond %{HTTPS} off<br>RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]<br>&lt;/IfModule&gt;<br> https://opennet.dev/openforum/vsluhforumID3/105173.html#11 Thu, 19 Nov 2015 11:20:28 GMT Не работает. Проверил на двух сборках nginx.<br> https://opennet.dev/openforum/vsluhforumID3/105173.html#10 Fri, 06 Nov 2015 11:20:12 GMT Это вот отсюда - https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html<br><br>Дело хорошее, но только после этого - https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html<br> https://opennet.dev/openforum/vsluhforumID3/105173.html#9 Thu, 29 Oct 2015 09:54:35 GMT Костылизм впечатлил<br> https://opennet.dev/openforum/vsluhforumID3/105173.html#8 Wed, 28 Oct 2015 14:06:40 GMT &gt;&gt; это разные меры.<br>&gt; То есть контент можно получить по http? но пытаемся средствами сервера запретить <br>&gt; клиенту это делать?<br><br>Отдать /модифицированный/ контент по httP мог MtM-прокси. При этом он мог получить его вполне себе по httpS.<br><br>&gt;&gt; перехватить (заблокировать) редирект 80 -&gt; 443 <br>&gt; С тем же успехом можно перехватить любой заголовок, то есть если допустить, <br>&gt; что пользователь туп как пробка и всегда входит по ссыке domain.com, <br>&gt; не проверяя хттпэСность, то спасти его от слива инфы никак нельзя. <br><br>Нельзя спасти его от слива инфы только при первом входе пользователя на сайт.<br>После получения заголовка HSTS и сохранения его в хранилище браузер больше не будет обращаться к серверу по httP, соответственно вмешаться в трафик будет нельзя.<br> https://opennet.dev/openforum/vsluhforumID3/105173.html#7 Sun, 25 Oct 2015 06:36:48 GMT &gt; это разные меры.<br><br>То есть контент можно получить по http? но пытаемся средствами сервера запретить клиенту это делать?<br><br>&gt; перехватить (заблокировать) редирект 80 -&gt; 443<br><br>С тем же успехом можно перехватить любой заголовок, то есть если допустить, что пользователь туп как пробка и всегда входит по ссыке domain.com, не проверяя хттпэСность, то спасти его от слива инфы никак нельзя.<br>