HSTS (HTTP Strict Transport Security) とは、Web サーバーがブラウザに対して、以降のアクセスをすべて HTTPS で行うよう指示するセキュリティ機構です。Strict-Transport-Security HTTP レスポンスヘッダーで設定し、RFC 6797 で標準化されています。
HSTS の主な目的は、HTTP から HTTPS へのリダイレクト時に発生する中間者攻撃 (MITM) のリスクを排除することです。HSTS が設定されたサイトでは、ブラウザが HTTP でのアクセスを自動的に HTTPS に変換するため、暗号化されていない通信が一切発生しません。<% if (typeof amazonTag !== 'undefined' && amazonTag) { %><a href="https://www.amazon.co.jp/s?k=HSTS%20HTTPS%20セキュリティ&tag=<%= amazonTag %>" target="_blank" rel="nofollow noopener noreferrer" class="amazon-inline-link">Amazon の関連書籍</a><% } else { %>Amazon の関連書籍<% } %>も参考になります。
HSTS ヘッダーの設定例は「Strict-Transport-Security: max-age=31536000; includeSubDomains; preload」です。max-age はポリシーの有効期間 (秒)、includeSubDomains はサブドメインへの適用、preload はブラウザの HSTS プリロードリストへの登録を示します。
短縮 URL サービスでは、HSTS を設定することで、短縮 URL へのアクセスが常に HTTPS で行われることを保証し、通信の安全性を確保します。<% if (typeof amazonTag !== 'undefined' && amazonTag) { %><a href="https://www.amazon.co.jp/s?k=Web%20サーバー%20セキュリティ%20設定&tag=<%= amazonTag %>" target="_blank" rel="nofollow noopener noreferrer" class="amazon-inline-link">Web サーバーセキュリティの実践書</a><% } else { %>Web サーバーセキュリティの実践書<% } %>も役立ちます。