Categorías
Tutoriales sobre Screaming Frog

Una guía de SEO para rastrear HSTS con Screaming Frog



Seguridad de transporte estricta HTTP

HTTP Strict Transport Security (HSTS) es un estándar, definido en RFC 6797mediante el cual un servidor web puede declarar a un cliente que solo se debe acceder a él a través de HTTPS.

El cliente, generalmente un servidor web o un rastreador, realizará todas las solicitudes futuras a través de HTTPS, incluso si sigue un enlace a una URL HTTP. Cuando esto sucede, Screaming Frog, a partir de la versión 8.0, muestra un Código de estado de 307, un Estado de «Política HSTS» y Tipo de redirección de «Política HSTS».

Aquí está el Screaming Frog ejecutándose en nuestro sitio de prueba HSTS https://www.screamingprojects.com/hsts/.

Así es como Chrome maneja la misma situación (he marcado la opción ‘Conservar registro’ en la parte superior, de lo contrario, se pierde el 307).

A diferencia de un 301 o un 302, esta redirección en realidad no la envía el servidor web. Es solo una representación interna en el navegador y Screaming Frog. En realidad, no se envía ninguna solicitud al servidor web, se da la vuelta internamente.

Cuando un servidor web declara que solo debe contactarse a través de HTTPS, establece una caducidad en esa declaración, por lo que el uso de la respuesta 307 tiene sentido para esto, ya que 307 significa ‘Redirección temporal’.

Descripción general del protocolo

El protocolo HSTS se basa en que el servidor envía un solo encabezado llamado Estricta-Transporte-Seguridad que solo debe enviarse a través de HTTPS. Si se envía a través de HTTP, se ignora. Hay dos directivas asociadas con el encabezado:

  • max-edad: Esto es obligatorio y especifica la cantidad de segundos durante los cuales el servidor solo debe ser contactado a través de HTTPS.
  • incluir subdominios: Este campo es opcional. Si se establece, especifica que la política HSTS también debe aplicarse a cualquier subdominio.

Ejemplos

Habilita HSTS durante un año:

Strict-Transport-Security: max-age=31536000

Forza el vencimiento de la política HSTS:

Strict-Transport-Security: max-age=0

Habilita la política HSTS durante un mes para este dominio y todos los subdominios:

Strict-Transport-Security: max-age=2592000 ; includeSubDomains

Beneficios

Como la reescritura de HTTP a HTTPS ocurre internamente en el cliente, hay varios beneficios clave en esto en lugar de simplemente usar una redirección HTTP -> HTTPS en todo el sitio.

  • Comunicación reducida sobre protocolos no seguros.
  • Rendimiento mejorado, ya que se evita un viaje de ida y vuelta cada vez que se encuentra un enlace HTTP.
  • Carga reducida en el servidor web.

Sin embargo, aún se necesita una redirección HTTP -> HTTPS para todo el sitio. como el Estricta-Transporte-Seguridad el encabezado se ignora a menos que se envíe a través de HTTPS. Entonces, si la primera visita a su sitio no es a través de HTTPS, aún necesita esa redirección inicial a HTTPS para entregar el Estricta-Transporte-Seguridad encabezamiento.

Teniendo en cuenta lo anterior, es posible que nunca espere ver un 307 como la primera respuesta que se muestra en Screaming Frog pero esto puede suceder. Esto se debe a que, detrás de escena, SScreaming Frog realiza una solicitud HTTP para el archivo robots.txt, recibe un 301 a la versión HTTPS del sitio y luego recibe el Estricta-Transporte-Seguridad encabezado, por lo que informará 307 para la primera URL rastreada. si deshabilitas robots.txt, Screaming Frog informará un 301.

Deshabilitar HSTS

Puede optar por deshabilitar la política HSTS desmarcando la configuración ‘Respetar la política HSTS’ en ‘Configuración> Spider> Avanzado’ en Screaming Frog.

respetar la política de hsts

Esto significa que Screaming Frog ignorará HSTS por completo e informará sobre las redirecciones y los códigos de estado subyacentes.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.