HSTS(HTTP Strict Transport Security)
HTTP 대신 HTTPS만을 사용하여 통신해야한다고 웹사이트가 브라우져에게 알리는 보안 기능.
Strict-Transport-Security 헤더는 사이트에서 HTTP로 접근되었을 땐 무시된다.
만약 사이트가 HTTPS로 접근되었고, 인증 에러도 없다면, 브라우져는 사이트고 HTTPS를 사용할 수 있음을 알고, Strict-Transport-Security 헤더를 사용.
ex) 무료 wifi에 로긴하여 웹서핑하면, 해커가 http request를 가로채어 가짜 사이트로 redirect가 되어 비공개 데이터를 해커에게 노출된다. 만약 https를 이용하여 해당 사이트 접근한 적이 있다면, 사이트에 Strict Transport Security를 사용되도록 되어 있으면 브라우져가 자동으로 https만을 사용하고, 해커는 main-in-the-middle 공격 하는 것을 방지 가능. 그러므로 Strict Transport Security는 이러한 해킹 문제를 해결해준다.
HTTPS를 이용하여 사이트에 접근하면 Strict-Transport-Security 헤더를 응답한다. 브라우져는 이러한 정보를 기록하여 이후에 HTTP로 접근해도 HTTPS로 Redirect 된다.
자동 Redirect를 막는 방법?!
Strict-Transport-Security 헤더에 명시된 만료시간이 지나면 http로 접근 가능.
Strict Transport Security 헤더 max-age 값을 0으로 지정하면 비활성화되어 HTTP 접근 허용
참고 링크 :
https://developer.mozilla.org/ko/docs/Web/HTTP/Headers/Strict-Transport-Security