# HSTS ### Что такое HSTS HTTP Strict-Transport-Security — дополнительное усиление безопасности, которое веб-приложение может указать с помощью специального заголовка ответа. По сути HSTS информирует браузеры о том, что доступ к сайту должен осуществляться только по протоколу HTTPS, и что все будущие попытки доступа к нему по протоколу HTTP должны автоматически преобразовываться в HTTPS. И на самом деле подобный сценарий более безопасный, чем настройка перенаправления с HTTP на HTTPS (301) на вашем сервере, где начальное HTTP-соединение все еще уязвимо для атаки [MITM](https://notes.kraken-security.ru/kraken/krupicy-znanii/ob-atake-mitm). \ \ Что важно: HSTS игнорируется браузером, если доступ к сайту осуществляется только по HTTP. Когда доступ к вашему сайту осуществляется по HTTPS без ошибок сертификата, браузер понимает, что ваш сайт поддерживает HTTPS, и будет учитывать заголовок Strict-Transport-Security. Браузеры делают это потому, что злоумышленники могут перехватывать HTTP-соединения с сайтом и внедрять или удалять этот заголовок. ### От чего помогает защититься HSTS — Пользователь делает закладки или вручную вводит и подвергается атаке MiTM. \ — HSTS автоматически перенаправляет HTTP-запросы на HTTPS для целевого домена. \ — Веб-приложение, которое предназначено быть полностью на HTTPS, случайно содержит ссылки на HTTP или предоставляет контент через HTTP. \ — Автоматически перенаправляет HTTP-запросы на HTTPS для целевого домена. — Злоумышленник пытается перехватить трафик от пользователя-жертвы с использованием недействительного сертификата и надеется, что пользователь примет плохой сертификат. HSTS не позволяет пользователю игнорировать сообщение о недействительном сертификате.\ \ Подробнее про настройку и устройство HSTS [читайте](https://cheatsheetseries.owasp.org/cheatsheets/HTTP_Strict_Transport_Security_Cheat_Sheet.html) на сайте OWASP