この機能はRFC 6797に従い、 HTTP Strict Transport Security ヘッダーをリクエストに追加する機能です。
HSTSポリシーヘッダーはセキュアでないHTTP接続上では無視されます。HSTSを機能させるためには、セキュアな接続(https)上で配信してください。
ブラウザはHSTSポリシーヘッダーを受け取ると、指定された期間の間セキュアでない接続ではサーバに接続しようとしません。
io.ktor.features.HSTS
and no additional artifacts are required.
fun Application.main() {
// ...
install(HSTS)
// ...
}
上のコードは、HSTSをデフォルト設定でインストールするコードです。
maxAge
(デフォルト値は1年): HSTSホストとしてクライアントに記憶させておく期間includeSubDomains
(デフォルト値はtrue): ポリシーを適用したいドメインおよびサブドメインを指定preload
(デフォルト値はfalse): Webブラウザのpreloading listにドメインを含めることを許可するcustomDirectives
(デフォルト値はempty): 特定のユーザエージェントによってサポートされる任意のカスタムディレクティブ