HSTS и preload: принудительный HTTPS и попадание в списки браузеров

Заголовок `Strict-Transport-Security`, срок `max-age` и риски preload до готовности всего домена.

HSTS сообщает браузеру всегда использовать HTTPS для домена — защита от downgrade и перехвата cookie при первом визите (до preload).

Preload в hstspreload.org распространяет политику на все установки Chrome — откат занимает месяцы, подавайте только стабильные зоны.

- [Strict-Transport-Security — MDN](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security) — Директивы max-age и includeSubDomains.

- [hstspreload.org](https://hstspreload.org/) — Требования к preload.

---

## Чеклист

Сначала HTTPS на всех поддоменах и редиректы с HTTP, затем длинный max-age, потом preload.

Тестовые staging-домены не включайте в includeSubDomains без отдельного сертификата.

5 апреля 2028 г.
beforetoggle: хук жизненного цикла popover
4 апреля 2028 г.
createImageBitmap: превью файлов в форме брифа
3 апреля 2028 г.
replaceChildren(): безопасная перерисовка каталога
2 апреля 2028 г.
getAnimations(): пауза WAAPI при reduced motion

#HTTPS#безопасность#инфраструктура

← Все новости Главная

Читайте также

beforetoggle: хук жизненного цикла popover

createImageBitmap: превью файлов в форме брифа

replaceChildren(): безопасная перерисовка каталога

getAnimations(): пауза WAAPI при reduced motion