开启HSTS(HTTP Strict Transport Security)

HSTS(HTTP Strict Transport Security) 的作用就是,当你使用了一次之后,浏览器就会记住这个选项,之后都是直接访问HTTPS。

原理是通过设置一个头部:Strict-Transport-Security: max-age=15552000; includeSubDomains。格式是 Strict-Transport-Security: max-age=; includeSubDomains,

其中 includeSubDomains 是可选的, 是在多少秒之后过期的意思。

如果一个网站同时提供HTTP和HTTPS两种服务,那么只要访问过HTTPS服务,在所设置的HSTS过期之前,浏览器都会直接访问HTTPS,这样

可以在一定程度上保证数据传输的安全。但是缺点也很明显,如果用户第一次访问的时候是访问HTTP服务,那么就可以在这一步进行中间人

攻击,把重定向服务中的 https:// 替换成 http://,这样就仍然可以监听所传输的数据。

解决方案是关闭HTTP服务,把所有的HTTP服务都重定向到HTTPS,例如Nginx中这样配置:

server {

listen 80;

limit_req zone=perip burst=10 nodelay;

access_log /var/log/nginx/jiajunhuang.com.access.log;

error_log /var/log/nginx/jiajunhuang.com.error.log;

server_name jiajunhuang.com;

if ($scheme != "https") {

return 301 https://$host$request_uri;

}

}

而Nginx中可以通过增加头部来实现HSTS:

server {

listen 443 ssl;

server_name www.example.com;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

}

如何关闭HSTS?

如果你的网站不再提供HTTPS,而你想关闭HSTS,那么必须要:

停止增加 Strict-Transport-Security 这个头部

从停止增加头部开始,等待 那么久之后,也就是所有浏览器里的配置都已经失效了之后,关闭HTTPS

参考资料:

关注公众号,获得及时更新

更多文章

加载评论

html增加hsts头,开启HSTS(HTTP Strict Transport Security)相关推荐

  1. HTTP Strict Transport Security (HSTS) in ASP.NET Core

    本文是<2020年了,再不会HTTPS就老了>的后篇,本文着重聊一聊HTTP Strict Transport Security协议的概念和应用. 启用 HTTPS 还不够安全 现在很多站 ...

  2. HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一)

    // HTTP strict transport security (HSTS) is defined in // http://tools.ietf.org/html/ietf-websec-str ...

  3. 渗透测试web未设置http头 Strict Transport Security

    HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 0×01. Freebuf百科: ...

  4. 为什么我们要使用HTTP Strict Transport Security?

    HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 0×01. Freebuf百科: ...

  5. chrome去除htst_HTTP Strict Transport Security实战详解

    HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 0×01. Freebuf百科: ...

  6. HTTP Strict Transport Security 导致的307 http自动跳转https

    今天遇到一个 由于nginx设置了header:Strict-Transport-Security导致url自动跳转为https的问题. 记录如下: 开发者模式下可以看到307及hsts类提示信息 可 ...

  7. 开启HSTS让浏览器强制跳转HTTPS访问

    开启HSTS让浏览器强制跳转HTTPS访问 来源 https://www.cnblogs.com/luckcs/articles/6944535.html 在网站全站HTTPS后,如果用户手动敲入网站 ...

  8. Linphone-android 登录过程增加自定义消息头流程分析

    注册增加消息头 在saveNewAccount()中: 添加自定义消息头 LinphoneProxyConfig prxCfg = lc.createProxyConfig(identityAddr. ...

  9. MBP中增加万能头 bits/stdc++.h

    一直使用 G++ 的万能头,感觉还是比较爽了.Mac 由于使用 clang++ 来编译,不存在万能头.用久了感觉非常不爽. 增加万能头 其实万能头就是一个头文件,我们可以自己在 Mac 中增加对应的文 ...

最新文章

  1. 【Flutter】遇见错误
  2. Hyper-V 3.0部署PART 14:准备仲裁磁盘
  3. lua打开是二进制代码_物联网的构建:使用Lua高级语言进行嵌入式开发
  4. webserver接口_SpringBoot内置源码解析WebServer初始化过程
  5. Linux笔记-SVN(subversion)创建仓库及客户端连接及文件回滚
  6. mysql 分库分表 建表,mysql 分库分表 建表MySQL常用操作
  7. 女的喜欢OBC男的喜欢OGC的含义(转)
  8. 大数据分析机器学习(二)之直方图和多元线性回归
  9. matlab用之前的计算结果递归,[转载]Matlab正则表达式(递归、匹配上下文等)(转载)...
  10. 北美地区IPv4地址已用完,网络IP地址告急?
  11. UVA 10246 Asterix and Obelix
  12. RemObjects_SDK平台远程处理框架
  13. 医院CRM客户关系管理系统
  14. 郑州大学计算机翟雨轩,郑州大学文件-20210331220732.doc-原创力文档
  15. 什么是PT,PT和BT有什么不同?
  16. 如何利用通达信进行选股集合操作
  17. 信而泰耦合测试-网络测试仪实操
  18. 美团 键盘大小写转换 最小敲击次数
  19. 你还在用挂历记录大事件?试试这款动态日历表!
  20. PrepareStatement和Statement的区别

热门文章

  1. 无线运动耳机什么牌子好,运动无线蓝牙耳机推荐
  2. 视觉在自动泊车系统中的设计与实现和挑战综述
  3. 厚积薄发,微软OFFICE云时代宏脚本来临,Excel Srcipt已经推进到桌面端可用
  4. 我的世界java版双海底神殿种子_我的世界双海底神殿加多沉船种子
  5. html解决iphone页面无法滑动,iphonex屏幕无法滑动怎么办?屏幕无法滑动解决办法...
  6. 手机屏幕常见故障_手机常见故障,这都不是事
  7. 【学习OpenGL】(三)——3D空间中的点与线
  8. 用canvas属性写一个五角星哦
  9. php 闭包函数传参,PHP闭包函数传参及使用外部变量 PHP闭包函数传参及使用外部变量的方法...
  10. tinymce-vue使用教程