security_headers_hsts_preload
Директива 'security_headers_hsts_preload' управляет включением 'preload' в заголовок HSTS, указывая на соответствие списку preload в Chromium.
Описание
Директива 'security_headers_hsts_preload' в модуле security headers NGINX позволяет выбрать, включать ли опцию 'preload' в заголовок Strict-Transport-Security (HSTS). При включении директива 'preload' сигнализирует о намерении сайта быть включённым в списки HSTS preload, управляемые браузерами, повышая безопасность за счёт того, что доступ к сайту осуществляется только через HTTPS. Это особенно полезно для защиты от атак man-in-the-middle при первоначальном запросе к серверу.
Директива принимает булев флаг, который может быть установлен в 'on' или 'off'. Если он установлен в 'on', директива 'Preload' будет автоматически добавлена в заголовок HSTS. Соответственно, установка в 'off' предотвращает включение директивы 'preload' в заголовок HSTS. Крайне важно правильно управлять этой настройкой, особенно в сценариях, когда на ваш сайт могут поступать запросы по небезопасному HTTP, поскольку неверные конфигурации могут привести к тому, что нежелательные домены будут ассоциированы с поведением 'HTTPS only', ограничивая доступ к этим доменам по обычному HTTP.
Пример конфига
http {
security_headers on;
security_headers_hsts_preload on;
}Убедитесь, что вы учитываете последствия предзагрузки, поскольку она может навсегда повлиять на то, как пользователи получают доступ к вашему сайту по HTTP.
Установка этой директивы в 'on' без уверенности, что все поддомены будут использовать только HTTPS, может ограничить допустимый трафик на ваш сайт.