HSTS IncludeSubDomains Property Presence
Checker ID: #4
v1.0.0-alpha
HSTS IncludeSubDomains Property Presence
Descrição
Verifica se a “trava de segurança” (HTTP Strict Transport Security - HSTS) vale para a "família toda" (subdomínios) ou só para o site principal.
Importância
Muitas vezes o site principal (ex.: site.com) é seguro, mas o blog.site.com ou dev.site.com não são. Hackers adoram usar esses subdomínios esquecidos para roubar cookies. Essa configuração garante que a “trava de segurança” (HSTS) seja herdada por todos os "filhos" do domínio principal.
Requisitos de Sucesso
• O cabeçalho Strict-Transport-Security deve conter o parâmetro includeSubDomains.
Cenários de Teste
Cenário Aprovado: O parâmetro includeSubDomains está presente:
Strict-Transport-Security: max-age=31536000; preload; includeSubDomains
Cenário Reprovado: O parâmetro includeSubDomains não está presente:
Strict-Transport-Security: max-age=31536000; preload