Sì, se stai usando SSL in tutto il sito, ti consiglio vivamente di abilitare HSTS .
L'HSTS è un'importante misura di sicurezza per sconfiggere gli attacchi man-in-the-middle che spostano l'utente su http e quindi attaccano l'utente. Ad esempio, sslstrip è uno strumento ben noto per montare un attacco del genere. Per maggiori dettagli su questo tipo di attacco, vedere le seguenti domande:
Come bloccare l'attacco sslstrip? ,
Opzioni per la difesa contro SSLstrip? ,
e questa risposta .
HSTS dice al browser: non usare mai HTTP con questo sito. Accedici solo tramite HTTPS. Quindi, per abilitare HSTS, devi assicurarti che il tuo sito funzioni con HTTPS e solo HTTPS. Questo include tutto: HTML, CSS, Javascript, tutto. Assicurati che tutti i CSS e Javascript sul tuo sito siano disponibili su HTTPS. Inoltre, ti suggerisco di convertire le tue pagine in riferimento a tutto su HTTPS (consiglio che le tue pagine evitino di caricare qualsiasi altra risorsa Javascript o CSS su HTTP, in quanto ciò potrebbe causare avvertimenti o problemi di sicurezza per alcuni browser).
Ad esempio, supponiamo che il tuo sito sia www.example.com
e che tu abbia una pagina https://www.example.com/buy.html
che include alcuni Javascript dal tuo sito. Devi assicurarti che il tuo file Javascript sia disponibile su un URL HTTPS (ad esempio https://www.example.com/library.js
). Ti consiglio di caricarlo tramite un URL HTTPS (ad esempio <SCRIPT SRC="https://www.example.com/library.js">
).
P.S. Ti consiglio anche di impostare il flag secure
su tutti i cookie che utilizzi.