Сышышь ты, выходи сюда,
поговорим !

Руководство для SEO по сканированию HSTS

  1. HTTP Строгая Транспортная Безопасность HTTP Strict Transport Security (HSTS) - это стандарт, определенный в RFC 6797 , с помощью которого веб-сервер может объявить клиенту, что доступ к нему должен осуществляться только через HTTPS. Затем клиент, обычно веб-сервер или сканер, будет выполнять все будущие запросы через HTTPS, даже если перейдет по ссылке на URL-адрес HTTP. Когда это происходит, SEO Spider, начиная с версии 8.0, показывает код состояния 307, статус «Политика HSTS» и тип перенаправления «Политика HSTS». Вот SEO Spider работает на нашем тестовом сайте HSTS https://www.screamingprojects.com/hsts/ , Вот как Chrome справляется с той же ситуацией (я отмечал опцию «Сохранить журнал» вверху, в противном случае 307 теряется). В отличие от 301 или 302, это перенаправление на самом деле не отправляется веб-сервером. Это просто внутреннее представление в браузере и SEO Spider. На самом деле на веб-сервер не отправляется запрос, он внутренне перевернут. Когда веб-сервер объявляет, что с ним следует связаться только через HTTPS, он устанавливает срок действия для этого объявления, поэтому использование ответа 307 имеет смысл для этого, так как 307 означает «Временное перенаправление». Обзор протокола
  2. Примеры
  3. Выгоды
  4. Отключение HSTS

HTTP Строгая Транспортная Безопасность

HTTP Strict Transport Security (HSTS) - это стандарт, определенный в RFC 6797 , с помощью которого веб-сервер может объявить клиенту, что доступ к нему должен осуществляться только через HTTPS.

Затем клиент, обычно веб-сервер или сканер, будет выполнять все будущие запросы через HTTPS, даже если перейдет по ссылке на URL-адрес HTTP. Когда это происходит, SEO Spider, начиная с версии 8.0, показывает код состояния 307, статус «Политика HSTS» и тип перенаправления «Политика HSTS».

Вот SEO Spider работает на нашем тестовом сайте HSTS https://www.screamingprojects.com/hsts/ ,

com/hsts/   ,

Вот как Chrome справляется с той же ситуацией (я отмечал опцию «Сохранить журнал» вверху, в противном случае 307 теряется).

Вот как Chrome справляется с той же ситуацией (я отмечал опцию «Сохранить журнал» вверху, в противном случае 307 теряется)

В отличие от 301 или 302, это перенаправление на самом деле не отправляется веб-сервером. Это просто внутреннее представление в браузере и SEO Spider. На самом деле на веб-сервер не отправляется запрос, он внутренне перевернут.

Когда веб-сервер объявляет, что с ним следует связаться только через HTTPS, он устанавливает срок действия для этого объявления, поэтому использование ответа 307 имеет смысл для этого, так как 307 означает «Временное перенаправление».

Обзор протокола

Протокол HSTS основан на том, что сервер отправляет один заголовок с именем Strict-Transport-Security, который должен отправляться только через HTTPS. Если он отправляется через HTTP, он игнорируется. С заголовком связаны две директивы:

  • max-age: это является обязательным и указывает количество секунд, в течение которых сервер должен связываться только через HTTPS.
  • includeSubDomains: это необязательное поле. Если установлено, указывает, что политика HSTS также должна применяться к любым поддоменам.

Примеры

Включает HSTS на год:

Строгая транспортная безопасность: max-age = 31536000

Вызывает истечение срока действия политики HSTS:

Строгая транспортная безопасность: max-age = 0

Включает политику HSTS на месяц для этого домена и всех поддоменов:

Строгая транспортная безопасность: максимальный возраст = 2592000; IncludeSubdomains

Выгоды

Поскольку перезапись HTTP в HTTPS происходит внутри клиента, есть несколько ключевых преимуществ по сравнению с использованием перенаправления HTTP -> HTTPS на весь сайт.

  • Сокращение связи по незащищенным протоколам.
  • Улучшенная производительность, поскольку обходится обход туда и обратно каждый раз, когда встречается HTTP-ссылка.
  • Уменьшена нагрузка на веб-сервер.

Однако перенаправление всего сайта на HTTP -> HTTPS все еще необходимо. Поскольку заголовок Strict-Transport-Security игнорируется, если он не отправлен по HTTPS. Поэтому, если первое посещение вашего сайта происходит не по протоколу HTTPS, вам все равно необходимо выполнить первоначальное перенаправление на HTTPS для доставки заголовка Strict-Transport-Security.

Учитывая вышесказанное, вы можете ожидать, что никогда не увидите 307 в качестве первого ответа, показанного в SEO Spider, но это может произойти. Это происходит потому, что за кулисами SEO Spider делает HTTP-запрос для файла robots.txt, получает 301 для HTTPS-версии сайта, затем получает заголовок Strict-Transport-Security, поэтому затем сообщит 307 для первого URL пополз. Если вы отключите robots.txt проверка SEO Spider сообщит о 301.

Отключение HSTS

Вы можете отключить политику HSTS, сняв флажок «Уважать политику HSTS» в разделе «Конфигурация> Spider> Advanced» в SEO Spider.

Вы можете отключить политику HSTS, сняв флажок «Уважать политику HSTS» в разделе «Конфигурация> Spider> Advanced» в SEO Spider

Это означает, что SEO Spider будет полностью игнорировать HSTS и сообщать об основных перенаправлениях и кодах состояния.

Если у вас есть вопросы о том, как использовать Screaming Frog SEO Spider пожалуйста, свяжитесь с нашими служба поддержки команда.