开启HSTS(HTTP Strict Transport Security)

栏目: 后端 · 前端 · 发布时间: 5年前

内容简介:HSTS(HTTP Strict Transport Security) 的作用就是,当你使用了一次之后,浏览器就会记住这个选项,之后都是直接访问HTTPS。原理是通过设置一个头部:如果一个网站同时提供HTTP和HTTPS两种服务,那么只要访问过HTTPS服务,在所设置的HSTS过期之前,浏览器都会直接访问HTTPS,这样 可以在一定程度上保证数据传输的安全。但是缺点也很明显,如果用户第一次访问的时候是访问HTTP服务,那么就可以在这一步进行中间人 攻击,把重定向服务中的

HSTS(HTTP Strict Transport Security) 的作用就是,当你使用了一次之后,浏览器就会记住这个选项,之后都是直接访问HTTPS。

原理是通过设置一个头部: Strict-Transport-Security: max-age=15552000; includeSubDomains 。格式是 Strict-Transport-Security: max-age=<过期时间>; includeSubDomains , 其中 includeSubDomains 是可选的, <过期时间> 是在多少秒之后过期的意思。

如果一个网站同时提供HTTP和HTTPS两种服务,那么只要访问过HTTPS服务,在所设置的HSTS过期之前,浏览器都会直接访问HTTPS,这样 可以在一定程度上保证数据传输的安全。但是缺点也很明显,如果用户第一次访问的时候是访问HTTP服务,那么就可以在这一步进行中间人 攻击,把重定向服务中的 https:// 替换成 http:// ,这样就仍然可以监听所传输的数据。

解决方案是关闭HTTP服务,把所有的HTTP服务都重定向到HTTPS,例如Nginx中这样配置:

server {
    listen 80;

    limit_req zone=perip burst=10 nodelay;
    access_log /var/log/nginx/jiajunhuang.com.access.log;
    error_log /var/log/nginx/jiajunhuang.com.error.log;

    server_name jiajunhuang.com;

    if ($scheme != "https") {
        return 301 https://$host$request_uri;
    }
}

而Nginx中可以通过增加头部来实现HSTS:

server {
    listen 443 ssl;
    server_name www.example.com;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

如何关闭HSTS?

如果你的网站不再提供HTTPS,而你想关闭HSTS,那么必须要:

Strict-Transport-Security
<过期时间>

参考资料:


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

计算几何

计算几何

周培德 / 2008-7 / 69.00元

《计算几何:算法设计与分析(第3版)》系统地介绍了计算几何中的基本概念、求解诸多问题的算法及复杂性分析,概括了求解几何问题所特有的许多思想方法、几何结构与数据结构。全书共分11章,包括:预备知识,几何查找(检索),多边形,凸壳及其应用,Voronoi图、三角剖分及其应用,交与并及其应用,多边形的获取及相关问题,几何体的划分与等分、算法的运动规划、几何拓扑网络设计、随机几何算法与并行几何算法等。一起来看看 《计算几何》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

随机密码生成器
随机密码生成器

多种字符组合密码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器