+6 əjdaha
1. (bax: hsts)əgər serverə göndərilən sorğu http üzərindən gəlib sonra httpsə yönləndirmə alırsa deməli istifadəçi əvvəlcə şifrələnməmiş bağlantı üzərindən danışır, hansı ki, bu da man in the middle hücumu üçün əlverişli şərait yaradır. hücum edən, bağlantı httpsə keçməmiş orijinal qaynağı dəyişdirib istifadəçiyə göndərə bilər. hsts browseri qabaqcadan məlumatlandırır ki, http üzərindən gələn sorğuları yükləməsin, əvəzinə httpdən gələn sorğuları httpsə çevirsin.
gün etibarilə sözlük hstsdən istifadə etməyə başlamışdır, get sorğusundakı response header-larında görmək olar.
(baxma: strict-transport-security: max-age=63072000; includeSubDomains; preload)
(baxma: x-frame-options: DENY) -> iframe vasitəsilə səhifənin göstərilməsini bloklayır. daha çox öyrənmək istəyənlər üçün qaynaq1
qaynaq2 owaspın tərifi xoşuma gəldi, ona görə redaktə eləmək qərarına gəldim.
HSTS elə bir response headeridir ki, browser onu qəbul etdikdən sonra http üzərindən hərhansı ünsiyyətə (baxma: server-client əlaqəsi) icazə vermir, əvəzinə ünsiyyəti https üzərindən təmin edir.