如果這個工具幫到了你,可以請作者喝杯咖啡 ☕
檢測網站HSTS配置狀態,分析安全頭引數,提升HTTPS強制傳輸安全性。
當用戶首次訪問未啟用HSTS的HTTPS網站時,仍可能遭受SSL剝離攻擊。本工具透過檢測HTTP響應頭中的Strict-Transport-Security欄位,解析max-age、includeSubDomains和preload等引數,幫助管理員驗證HSTS配置是否正確生效。HSTS(HTTP嚴格傳輸安全)是一種Web安全策略,強制瀏覽器在指定時間內僅透過HTTPS連線訪問網站,從根本上防止中間人劫持和協議降級攻擊。
HSTS檢測工具如何保證檢測準確性?
工具透過模擬瀏覽器請求獲取真實HTTP響應頭,直接解析Strict-Transport-Security欄位值。但需注意複雜CDN或多層重定向可能影響結果準確性。
max-age設定多少合適?
生產環境建議至少31536000秒(1年)。測試期可設較短時間,但需確保引數語法正確。
檢測前請確認域名解析正常且支援HTTPS訪問。結果僅反映當前請求響應狀態,實際部署需結合伺服器配置驗證。涉及預載入列表提交需前往hstspreload.org操作。敏感域名測試建議使用測試環境。
建議先將max-age設定為較短時間(如300秒)進行測試,確認無誤後再延長至一年以上。啟用includeSubDomains前需確保所有子域名均支援HTTPS,否則會導致訪問中斷。典型合規配置:Strict-Transport-Security: max-age=31536000; includeSubDomains; preload