情報処理安全確保支援士_HSTS
- HSTS(Hypertext Strict Transport Security)
WebブラウザにTLSの使用を矯正するポリシーメカニズムである。HSTS指定されているWebサイトにアクセスすると、Webサーバは次回からhttpsアクセスするようにWebブラウザに通知する。HTTPのStrict-Transport-Securityレスポンスヘッダに設定される。
もし、訪問者が http://www.foo.com/ または単に foo.com と入力したとき、ウェブサイトが接続を HTTP で受け付け、 HTTPS にリダイレクトするようになっていると、訪問者はリダイレクトされる前にまず、暗号化されないバージョンのサイトと通信する可能性がある。これは中間者攻撃の機会を作ってしまうため、リダイレクトは訪問者を本来のサイトの安全なバージョンではなく、悪意のあるサイトに導くために利用される可能性がある。
- 参考URL
https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/Strict-Transport-Security