logo
GeekFormat

HSTS Analyzer

ตัววิเคราะห์ Strict-Transport-Security

วิเคราะห์ว่าการรวมกันของ HSTS max-age, includeSubDomains และ preload เป็นไปตามข้อกำหนดของเบราว์เซอร์และรายการ preload หรือไม่

สรุปการวิเคราะห์

max-age
365d 0h
includeSubDomains
Yes
preload
Yes
Directive Count
3
โครงสร้าง HSTS ดูเหมือนว่าไม่มีข้อผิดพลาดที่ชัดเจน

ตัวสร้าง

max-age=31536000; includeSubDomains; preload

ตัวอย่าง JSON

{
  "directives": [
    {
      "key": "max-age",
      "value": "31536000"
    },
    {
      "key": "includesubdomains",
      "value": null
    },
    {
      "key": "preload",
      "value": null
    }
  ],
  "maxAgeSeconds": 31536000,
  "includeSubDomains": true,
  "preload": true,
  "warnings": []
}

ตรวจสอบ HSTS ออนไลน์ ประเมินว่านโยบายบังคับ HTTPS ของคุณปลอดภัยและมั่นคงเพียงใด

คำแนะนำที่เกี่ยวข้อง

กรณีการใช้งาน

  • ขณะเตรียมบังคับใช้ HTTPS ทั้งไซต์ ให้ตรวจสอบก่อนว่าระยะเวลา HSTS และนโยบายโดเมนย่อยเหมาะสมกับสภาพแวดล้อมหรือไม่
  • กำหนดค่า max-age ที่เหมาะสมและเปิด includeSubDomains เพื่อยกระดับความปลอดภัยตามมาตรฐาน
  • ตรวจสอบความพร้อมก่อนส่งโดเมนเข้า HSTS Preload List เพื่อให้แน่ใจว่าส่วนหัวเป็นไปตามที่เบราว์เซอร์ต้องการ
  • แก้ปัญหาการเข้าถึง HTTPS ที่ผิดพลาดโดยการยืนยันความถูกต้องของส่วนหัว HSTS และคำสั่งต่างๆ

คุณสมบัติ

  • แยกแยะคำสั่งสำคัญชัดเจน: ดูเวลาคงอยู่, การครอบคลุมโดเมนย่อย และเงื่อนไขการ Preload ได้อย่างแยกส่วน
  • ตรวจสอบนโยบายก่อนบังคับใช้: ป้องกันปัญหาการตั้งค่าผิดพลาดที่อาจส่งผลกระทบต่อทั้งไซต์หากนำขึ้นระบบทันที
  • เตรียมพร้อมก่อนเข้า Preload List: ช่วยประเมินว่าส่วนหัว HSTS ของคุณเป็นไปตามข้อกำหนดการ Preload ของเบราว์เซอร์หรือไม่
  • แสดงผลที่เข้าใจง่าย: รายงานผลการวิเคราะห์ที่ชัดเจน ช่วยให้ทีมพัฒนาและทีมความปลอดภัยทำงานร่วมกันได้ดีขึ้น

วิธีการใช้งาน

  1. วางส่วนหัว HSTS ในส่วนวิเคราะห์ หรือใช้ส่วนสร้างเพื่อระบุค่า max-age และตัวเลือกต่างๆ
  2. ในโหมดวิเคราะห์ ตรวจสอบเวลาคงอยู่ (ในรูปแบบที่อ่านง่าย), การครอบคลุมโดเมนย่อย, สถานะ Preload และคำเตือน
  3. ในโหมดสร้าง กำหนดเวลา max-age เป็นวินาที พร้อมเลือก includeSubDomains หรือ preload ตามต้องการ
  4. คัดลอกเนื้อหา HSTS ที่สร้างขึ้นไปใช้ในคอนฟิกเซิร์ฟเวอร์หรือทดสอบการดีบักต่อ

คำถามที่พบบ่อย

HSTS มีประโยชน์อย่างไร?

HSTS บอกให้เบราว์เซอร์เข้าถึงเว็บไซต์ผ่าน HTTPS เท่านั้น เพื่อลดความเสี่ยงจากการถูกโจมตีแบบ Downgrade และการดักฟังข้อมูล

max-age, includeSubDomains และ preload แตกต่างกันอย่างไร?

max-age คือระยะเวลาที่นโยบายมีผล, includeSubDomains บังคับใช้กับโดเมนย่อยทั้งหมด และ preload คือการขอให้เบราว์เซอร์ใส่โดเมนในรายการบังคับ HTTPS ตั้งแต่ต้น

เหมาะสำหรับการตรวจสอบความพร้อมเข้า HSTS Preload List หรือไม่?

เหมาะมาก ช่วยให้คุณตรวจสอบได้ว่าฟิลด์สำคัญครบถ้วนและเป็นไปตามเงื่อนไขพื้นฐานก่อนทำการยื่นเรื่องอย่างเป็นทางการ

ทำไมควรตรวจสอบ HSTS ก่อนนำขึ้นระบบจริง?

หากตั้งค่าผิดพลาดหรือเข้มงวดเกินไปอาจทำให้ผู้ใช้เข้าถึงเว็บไซต์ไม่ได้ การวิเคราะห์ล่วงหน้าจะช่วยให้พบปัญหาของค่าที่ไม่เหมาะสมได้เร็วขึ้น

เครื่องมือสร้าง Authentication Headerเครื่องมือวิเคราะห์ Cache-Controlเครื่องมือวิเคราะห์ Content-Dispositionเครื่องมือสร้าง CORS Headerเครื่องมือตรวจสอบ CORSCSP Builderตัวแปลง cURL เป็นโค้ดตรวจสอบการแพร่กระจาย DNS ทั่วโลกค้นหา DNSForwarded Header Parserเครื่องมือสร้าง Hreflang TagHSTS AnalyzerHTTP Cookie ParserHTTP Headers CheckerHTTP Request Runnerค้นหารหัสสถานะ HTTPค้นหา IPตัวแปลง IPv4เครื่องมือขยายช่วง IPv4เครื่องมือจัดการที่อยู่ IPv6ตัวแยกวิเคราะห์ส่วนหัว Linkค้นหา MX Recordตรวจสอบพอร์ตสร้างพารามิเตอร์ URLตัวแยกวิเคราะห์ส่วนหัว Rate Limitเครื่องมือตรวจสอบห่วงโซ่การเปลี่ยนเส้นทางสร้าง Robots.txtตรวจสอบ Robots.txtตรวจสอบส่วนหัวความปลอดภัยสร้าง Security.txtตัวแยกวิเคราะห์ Set-Cookieตรวจสอบเครือข่ายเว็บไซต์สร้าง Sitemapตรวจสอบ Sitemapตัวตรวจสอบใบรับรอง SSLเครื่องคำนวณซับเน็ตตัวแยกวิเคราะห์ URLตัวแยกวิเคราะห์ User-Agentตัวสร้างลิงก์ UTMทดสอบ WebSocketWhat Is My IP?ค้นหา WHOIS