html增加hsts头,开启HSTS(HTTP Strict Transport Security)
开启HSTS(HTTP Strict Transport Security)
HSTS(HTTP Strict Transport Security) 的作用就是,当你使用了一次之后,浏览器就会记住这个选项,之后都是直接访问HTTPS。
原理是通过设置一个头部:Strict-Transport-Security: max-age=15552000; includeSubDomains。格式是 Strict-Transport-Security: max-age=; includeSubDomains,
其中 includeSubDomains 是可选的, 是在多少秒之后过期的意思。
如果一个网站同时提供HTTP和HTTPS两种服务,那么只要访问过HTTPS服务,在所设置的HSTS过期之前,浏览器都会直接访问HTTPS,这样
可以在一定程度上保证数据传输的安全。但是缺点也很明显,如果用户第一次访问的时候是访问HTTP服务,那么就可以在这一步进行中间人
攻击,把重定向服务中的 https:// 替换成 http://,这样就仍然可以监听所传输的数据。
解决方案是关闭HTTP服务,把所有的HTTP服务都重定向到HTTPS,例如Nginx中这样配置:
server {
listen 80;
limit_req zone=perip burst=10 nodelay;
access_log /var/log/nginx/jiajunhuang.com.access.log;
error_log /var/log/nginx/jiajunhuang.com.error.log;
server_name jiajunhuang.com;
if ($scheme != "https") {
return 301 https://$host$request_uri;
}
}
而Nginx中可以通过增加头部来实现HSTS:
server {
listen 443 ssl;
server_name www.example.com;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}
如何关闭HSTS?
如果你的网站不再提供HTTPS,而你想关闭HSTS,那么必须要:
停止增加 Strict-Transport-Security 这个头部
从停止增加头部开始,等待 那么久之后,也就是所有浏览器里的配置都已经失效了之后,关闭HTTPS
参考资料:
关注公众号,获得及时更新
更多文章
加载评论
html增加hsts头,开启HSTS(HTTP Strict Transport Security)相关推荐
- HTTP Strict Transport Security (HSTS) in ASP.NET Core
本文是<2020年了,再不会HTTPS就老了>的后篇,本文着重聊一聊HTTP Strict Transport Security协议的概念和应用. 启用 HTTPS 还不够安全 现在很多站 ...
- HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一)
// HTTP strict transport security (HSTS) is defined in // http://tools.ietf.org/html/ietf-websec-str ...
- 渗透测试web未设置http头 Strict Transport Security
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 0×01. Freebuf百科: ...
- 为什么我们要使用HTTP Strict Transport Security?
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 0×01. Freebuf百科: ...
- chrome去除htst_HTTP Strict Transport Security实战详解
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 0×01. Freebuf百科: ...
- HTTP Strict Transport Security 导致的307 http自动跳转https
今天遇到一个 由于nginx设置了header:Strict-Transport-Security导致url自动跳转为https的问题. 记录如下: 开发者模式下可以看到307及hsts类提示信息 可 ...
- 开启HSTS让浏览器强制跳转HTTPS访问
开启HSTS让浏览器强制跳转HTTPS访问 来源 https://www.cnblogs.com/luckcs/articles/6944535.html 在网站全站HTTPS后,如果用户手动敲入网站 ...
- Linphone-android 登录过程增加自定义消息头流程分析
注册增加消息头 在saveNewAccount()中: 添加自定义消息头 LinphoneProxyConfig prxCfg = lc.createProxyConfig(identityAddr. ...
- MBP中增加万能头 bits/stdc++.h
一直使用 G++ 的万能头,感觉还是比较爽了.Mac 由于使用 clang++ 来编译,不存在万能头.用久了感觉非常不爽. 增加万能头 其实万能头就是一个头文件,我们可以自己在 Mac 中增加对应的文 ...
最新文章
- 【Flutter】遇见错误
- Hyper-V 3.0部署PART 14:准备仲裁磁盘
- lua打开是二进制代码_物联网的构建:使用Lua高级语言进行嵌入式开发
- webserver接口_SpringBoot内置源码解析WebServer初始化过程
- Linux笔记-SVN(subversion)创建仓库及客户端连接及文件回滚
- mysql 分库分表 建表,mysql 分库分表 建表MySQL常用操作
- 女的喜欢OBC男的喜欢OGC的含义(转)
- 大数据分析机器学习(二)之直方图和多元线性回归
- matlab用之前的计算结果递归,[转载]Matlab正则表达式(递归、匹配上下文等)(转载)...
- 北美地区IPv4地址已用完,网络IP地址告急?
- UVA 10246 Asterix and Obelix
- RemObjects_SDK平台远程处理框架
- 医院CRM客户关系管理系统
- 郑州大学计算机翟雨轩,郑州大学文件-20210331220732.doc-原创力文档
- 什么是PT,PT和BT有什么不同?
- 如何利用通达信进行选股集合操作
- 信而泰耦合测试-网络测试仪实操
- 美团 键盘大小写转换 最小敲击次数
- 你还在用挂历记录大事件?试试这款动态日历表!
- PrepareStatement和Statement的区别
热门文章
- 无线运动耳机什么牌子好,运动无线蓝牙耳机推荐
- 视觉在自动泊车系统中的设计与实现和挑战综述
- 厚积薄发,微软OFFICE云时代宏脚本来临,Excel Srcipt已经推进到桌面端可用
- 我的世界java版双海底神殿种子_我的世界双海底神殿加多沉船种子
- html解决iphone页面无法滑动,iphonex屏幕无法滑动怎么办?屏幕无法滑动解决办法...
- 手机屏幕常见故障_手机常见故障,这都不是事
- 【学习OpenGL】(三)——3D空间中的点与线
- 用canvas属性写一个五角星哦
- php 闭包函数传参,PHP闭包函数传参及使用外部变量 PHP闭包函数传参及使用外部变量的方法...
- tinymce-vue使用教程