Hoe forceer ik HSTS in een .htaccess bestand?
In dit artikel gaan we HSTS forceren via een .htaccess bestand.
- Maak een .htaccess bestand aan (of deze is al aanwezig)
- Maak (bij voorkeur via een teksteditor) een .htaccess bestand aan. Let daarbij op de naamgeving: .htaccess
- Bestaat er al een .htaccess bestand? Bewerk deze dan zodat je tekst kunt toevoegen.
Let op, plaats deze code bovenaan het .htaccess bestand.
Binnen de teksteditor voeg je de volgende code toe. Met deze code forceer je HSTS voor enkel de hostnaam/domeinnaam.
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Wil je HSTS ook op de subdomeinen forceren? Gebruik dan onderstaande code.
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS
Plaats het .htaccess bestand online en/of sla deze nu op.
Om alles op internet.nl (onderaan) op groen te krijgen voeg dan de onderstaande code toe aan uw .htaccess. De bovenstaande kun je dan overslaan omdat deze hier ook in staat.
# Set browser headers
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Xss-Protection "1; mode=block"
Header always set X-Content-Type-Options "nosniff"
Header set Referrer-Policy "no-referrer-when-downgrade"
</IfModule>
Hoe controleer ik of HSTS aan staat
Op internet.nl kunt u alle controles betreft uw websiteveiligheid controleren.