logo
GeekFormat

Analizator HSTS

Analizator Strict-Transport-Security

Przeanalizuj, czy kombinacja HSTS max-age, includeSubDomains i preload spełnia wymagania przeglądarki i listy preload.

Podsumowanie analizy

max-age
365d 0h
includeSubDomains
Yes
preload
Yes
Directive Count
3
Struktura HSTS wydaje się nie mieć oczywistych błędów

Konstruktor

max-age=31536000; includeSubDomains; preload

Podgląd JSON

{
  "directives": [
    {
      "key": "max-age",
      "value": "31536000"
    },
    {
      "key": "includesubdomains",
      "value": null
    },
    {
      "key": "preload",
      "value": null
    }
  ],
  "maxAgeSeconds": 31536000,
  "includeSubDomains": true,
  "preload": true,
  "warnings": []
}

Sprawdź HSTS online, najpierw oceń, czy strategia wymuszania HTTPS jest stabilna.

Powiązane Rekomendacje

Przypadki użycia

  • Przed wymuszeniem HTTPS na całej stronie najpierw potwierdź, czy czas trwania HSTS i strategia subdomen są odpowiednie dla bieżącego środowiska
  • Podczas remediacji bezpieczeństwa skonfiguruj odpowiednią wartość max-age za pomocą generatora i zaznacz includeSubDomains
  • Przed złożeniem wniosku o HSTS preload sprawdź samodzielnie, czy konfiguracja zawiera dyrektywę preload spełniającą wymagania przeglądarki
  • Podczas rozwiązywania problemów z dostępem HTTPS w trybie obniżonym potwierdź, czy nagłówek odpowiedzi HSTS jest poprawnie zwracany i sparsuj poszczególne dyrektywy

Funkcje

  • Klarowne rozbicie kluczowych dyrektyw: czas trwania, pokrycie subdomen i warunki preload nie są już mieszane
  • Samodzielne sprawdzenie przed wymuszeniem HTTPS: unikanie natychmiastowego rozprzestrzenienia błędnej konfiguracji na całą stronę
  • Samodzielne sprawdzenie przed preloadingiem: pomaga wcześniej ocenić, czy nagłówek HSTS jest bliski wymagań preload
  • Szybkie zrozumienie konfiguracji: intuicyjna prezentacja wyników, ułatwiająca współpracę między deweloperami, administratorami i zespołem bezpieczeństwa

Jak Używać

  1. Wklej zawartość nagłówka odpowiedzi HSTS do obszaru parsowania lub użyj generatora, aby wypełnić liczbę sekund max-age i zaznaczyć opcje
  2. W trybie parsowania wyświetl max-age (czytelny czas), includeSubDomains, preload i informacje ostrzegawcze
  3. W trybie generowania skonfiguruj liczbę sekund max-age, zaznacz opcje includeSubDomains i preload
  4. Skopiuj wygenerowaną zawartość HSTS do konfiguracji serwera lub nadpisz zawartość obszaru wejściowego, aby kontynuować debugowanie

Często Zadawane Pytania

Do czego służy HSTS?

HSTS informuje przeglądarkę, aby używała wyłącznie HTTPS do odwiedzenia tej strony, co zmniejsza ryzyko ataków typu downgrade i man-in-the-middle. Jednak przed jasnym określeniem strategii nie zaleca się ślepego maksymalnego zwiększania.

Co oznaczają max-age, includeSubDomains i preload?

max-age określa czas obowiązywania HSTS, includeSubDomains oznacza, że działa również dla subdomen, a preload jest powiązany z listą preloadingu przeglądarek. Narzędzie pomaga rozbić każdą pozycję.

Czy nadaje się do sprawdzania, czy strona spełnia wymagania HSTS preload?

Tak, nadaje się. Pomaga sprawdzić, czy kluczowe pola są kompletne, ułatwiając wstępną ocenę, czy spełnione są podstawowe warunki wpisania na listę preloadingu.

Dlaczego warto sprawdzić HSTS przed uruchomieniem?

Nieprawidłowa konfiguracja może prowadzić do zbyt luźnej lub zbyt ścisłej strategii HTTPS. Sprawdzenie przed uruchomieniem pozwala wcześniej wykryć brakujące pola, nieprawidłowe wartości lub niekompletne pokrycie subdomen.