Не удается включить HSTS в приложении Django
Я работаю над веб-приложением Django и пытаюсь повысить его уровень безопасности с A до A+ на сайте SecurityHeaders (https://securityheaders.com/). Единственное, чего мне, похоже, не хватает, это заголовка "Strict Transport Security". Только поэтому я получаю A.
Я увидел, что заголовки HSTS можно легко добавить в Django, используя некоторые параметры настройки. Прочитав кое-что в интернете, я добавил эти строки кода в свой settings.py:
SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https')
SECURE_HSTS_SECONDS = 60
SECURE_HSTS_INCLUDE_SUBDOMAINS = True
SECURE_HSTS_PRELOAD = True
(...), но при навигации по сайту я не вижу заголовка Strict Transport Policy в разделе Response (при нажатии F12). Вот как выглядит мой Response:
alt-svc: h3=":443"; ma=86400, h3-29=":443"; ma=86400, h3-28=":443"; ma=86400, h3-27=":443"; ma=86400
cf-cache-status: DYNAMIC
cf-ray: 6c9ba77f4c128bbd-FRA
content-security-policy: default-src 'self' 'unsafe-inline'; img-src 'self' 'unsafe-inline' data:; connect-src 'unsafe-inline' *.fontawesome.com; object-src 'self' 'unsafe-inline'; font-src 'self' 'unsafe-inline' *.fontawesome.com fonts.gstatic.com; style-src 'self' 'unsafe-inline' *.fontawesome.com *.w3.org maxcdn.bootstrapcdn.com fonts.googleapis.com; script-src 'self' 'unsafe-inline' https://use.fontawesome.com https://kit.fontawesome.com *.jquery.com *.cloudflare.com *.jsdelivr.net
content-type: text/html; charset=utf-8
cross-origin-opener-policy: same-origin
date: Fri, 07 Jan 2022 08:00:46 GMT
expect-ct: max-age=604800, report-uri="https://report-uri.cloudflare.com/cdn-cgi/beacon/expect-ct"
location: /
nel: {"success_fraction":0,"report_to":"cf-nel","max_age":604800}
permissions-policy: accelerometer=(), ambient-light-sensor=(), autoplay=(), camera=(), display-capture=(), document-domain=(), encrypted-media=(), fullscreen=(), geolocation=(), gyroscope=(), interest-cohort=(), magnetometer=(), microphone=(), midi=(), payment=(), usb=()
referrer-policy: same-origin
report-to: {"endpoints":[{"url":"https:\/\/a.nel.cloudflare.com\/report\/v3?s=5HwVXKHhN2MPzsHX2fXmYa9buhsouaNmscXCB3ZW%2BEq7Mu3Kb1oJuxFHczmk88xonCtA4O16TZSb7elHC1A9PSoinUoYrFkM30LGOw%2FtyhDey%2BH7eUZaxm7x9b245wAiuEtT"}],"group":"cf-nel","max_age":604800}
server: cloudflare
set-cookie: messages=W1siX19qc29uX21lc3NhZ2UiLDAsMjUsIlN1Y2Nlc3NmdWxseSBsb2dnZWQgaW4gYXMgbW1hdGVhcy4iXV0:1n5kB4:RbaPjJ-GtYjXfbxN-FmAh_CBl7h7QrAZXnQnXz5i3OQ; HttpOnly; Path=/; SameSite=Strict; Secure
set-cookie: sessionid=xx5ycw43naakf2n2tm494nlquqbag7ux; expires=Fri, 21 Jan 2022 08:00:46 GMT; HttpOnly; Max-Age=1209600; Path=/; SameSite=Strict; Secure
vary: Cookie
via: 1.1 vegur
x-content-type-options: nosniff
x-frame-options: DENY
В принципе, ничего не происходит. Это также включено в settings.py:
'django.middleware.security.SecurityMiddleware',
(...), так что это не должно быть проблемой, но это так.
Что я могу сделать? Почему я не могу добавить HSTS-заголовки на свой Django-сайт?