HSTS (HTTP Strict Transport Security)

HSTS (HTTP Strict Transport Security)란 브라우저가 HTTPS만을 사용하도록 강제하는 보안기능입니다. HSTS가 활성화된 후 HTTP 요청을 하게 되면 강제로 HTTPS로 전환되게 됩니다.

사용자들이 브라우저 주소를 입력 할 때 http:// 주소를 타이핑 하거나 혹은 https://를 생략하는 경향이 있는데, HSTS를 통해 HTTPS를 강제할 수 있게 됩니다.

HSTS는 다음과 같은 HTTP 헤더를 추가함으로서 활성화할 수 있습니다.
Strict-Transport-Security: max-age=16070400; includeSubDomains

HTTP 통신에서는 브라우저가 HSTS 헤더를 무시합니다. HTTP 통신에서는 해커가 HSTS 헤더를 마음대로 조작할 수 있기 때문입니다.

HSTS는 Chrome, Firefox, Safari, Opera, Edge, IE11 등 대부분의 브라우저에서 지원합니다. (HSTS 브라우저 지원)