HSTS

Also known as: HTTP Strict Transport Security, Strict-Transport-Security

Quy tắc trang web của bạn gửi cho trình duyệt rằng 'luôn kết nối với tôi bảo mật' — đóng lỗ hổng kẻ tấn công dùng để chặn lần truy cập đầu tiên chưa được bảo vệ.

HSTS là gì

HSTS là viết tắt của HTTP Strict Transport Security. Đây là hướng dẫn ngắn trang web của bạn gửi cho trình duyệt của khách truy cập khi lần đầu kết nối, nói: “Từ bây giờ, chỉ kết nối với tôi bảo mật — không bao giờ qua kết nối không được bảo vệ.” Trình duyệt nhớ điều này và tự động thực thi trong mọi lần truy cập trong tương lai.

Tại sao điều này quan trọng với doanh nghiệp của bạn

Ngay cả khi trang web của bạn có chứng chỉ hợp lệ, vẫn có một rủi ro nhỏ trong lần kết nối đầu tiên — trước khi phiên bản bảo mật bắt đầu. Kẻ tấn công trên cùng mạng có thể khai thác khoảnh khắc đó để âm thầm đẩy khách truy cập vào bản sao giả hoặc không được bảo vệ của trang web và thu thập những gì họ nhập.

HSTS xóa bỏ khoảng trống đó. Một khi trình duyệt đã được thông báo quy tắc, nó từ chối kết nối không bảo mật — không có cửa sổ để kẻ tấn công lách qua. Với khách hàng của bạn là vô hình; với bạn đó là sự cứng cáp một lần yên lặng bảo vệ mọi lần truy cập trở lại.

Cách kiểm tra và xử lý

Công cụ kiểm tra miễn phí của chúng tôi cho bạn biết HSTS có được bật cho trang web của bạn không. Nếu không, hướng dẫn khắc phục HSTS giải thích cách bật nó an toàn — đây là cài đặt nhỏ được thêm bởi người quản lý trang web của bạn và miễn phí. (Tốt nhất bật nó chỉ sau khi trang web của bạn đã hoạt động hoàn toàn qua kết nối bảo mật, mà hướng dẫn đề cập.)

Want to fix this on your own domain? See the free guide →