Я не очень знаком с HSTS, но я пытаюсь реализовать его на моем общем сервере веб-хостинга.
Кажется, я заставил его работать на хосте с www. но не на хосте вершины.
При усилении аудита безопасности это помечается как проблема, отчет об аудите: https://www.hardenize.com/report/perroon.eu/1590566369#www_hsts
У меня нет доступа к конфигурации apache, только .htaccess.
Вот мой .htaccess:
# Force from HTTP to HTTPS
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://$1 [R,L]
# Secure this /secured section
<If "%{HTTPS} == 'on'">
AuthUserFile "/home/xtreamro/.htpasswds/perroon.eu/passwd"
AuthName "Restricted Access"
AuthType Basic
require valid-user
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set X-Frame-Options "deny"
Header always set X-XSS-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header always set Content-Security-Policy "default-src 'self' 'unsafe-inline'"
Header always set Content-Security-Policy "img-src *"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Cache-Control "public"
</If>
Дополнительные примечания:
Может ли кто-нибудь поделиться светом, как мне сделать это без упоминания об этом в аудитах безопасности?
В отчете Hardenize указано, что делать. Разместите свой сайт здесь - https://hstspreload.org/ ИЛИ удалите предварительную загрузку из записи HSTS.