HSTS = Строгая безопасность транспорта HTTP
Для сайтов, доступ к которым должен осуществляться только через HTTPS, вы можете указать современным браузерам отказаться от подключения к вашему доменному имени через небезопасное соединение (в течение определенного периода времени), установив заголовок «Strict-Transport-Security». Это снижает вашу подверженность некоторым атакам типа "злоумышленник посередине" с удалением SSL (MITM).
SecurityMiddleware установит этот заголовок для всех ответов HTTPS, если вы установите для параметра SECURE_HSTS_SECONDS ненулевое целочисленное значение.
Однако этот заголовок также может быть установлен Nginx в файле conf, добавив строку:
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains;";
Итак, вопрос в том, должны ли мы настроить Nginx для установки этого заголовка или Django SecurityMiddleware, добавив настройки HSTS в файл настроек проекта?
