HSTS 网站http跳转到https
来源:互联网 发布:java性能优化 编辑:程序博客网 时间:2024/05/18 06:59
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式.
过期时间,单位秒,浏览器需要记住这个网站只能通过HTTPS访问的时间。 你的网站第一次通过HTTPS请求,服务器响应 当HSTS头设置的过期时间到了,后面通过HTTP的访问恢复到正常模式,不会再自动跳转到HTTPS。 每次浏览器接收到Strict-Transport-Security头,它都会更新这个网站的过期时间,所以网站可以刷新这些信息,防止过期发生。
作用
一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://foo.com或者直接foo.com。
这样存在中间人攻击潜在威胁,跳转过程可能被恶意网站利用来直接接触用户信息,而不是原来的加密信息。
网站通过HTTP Strict Transport Security通知浏览器,这个网站禁止使用HTTP方式加载,浏览器应该自动把所有尝试使用HTTP的请求自动替换为HTTPS请求。
现实案例
你连接到一个免费WiFi接入点,然后开始浏览网站,访问你的网上银行,查看你的支出,并且支付一些订单。很不幸,你接入的WiFi实际上是黑客的笔记本热点,他们拦截了你最初的HTTP请求,然后跳转到一个你银行网站一模一样的钓鱼网站。 现在,你的隐私数据暴露给黑客了。
Strict Transport Security解决了这个问题;只要你通过HTTPS请求访问银行网站,并且银行网站配置好Strict Transport Security,你的浏览器知道自动使用HTTPS请求,这可以阻止黑客的中间人攻击的把戏。
启用 Strict Transport Security
开启HSTS只需要当通过HTTPS方式访问你的网站时,返回 Strict-Transport-Security
HTTP 头信息:
Strict-Transport-Security: max-age=expireTime [; includeSubdomains]
expireTime
includeSubdomains
可选如果这个可选的参数定义了,这条规则对于网站的所有子域同样生效。
例如:
进入 IIS -- 网站 — 你的域名 — HTTP 响应标头 — 添加
名称: Strict-Transport-Security
值:max-age=15768000; includeSubDomains; preload
浏览器如何处理
Strict-Transport-Security
头,浏览器记录下这些信息,然后后面尝试访问这个网站的请求都会自动把HTTP替换为HTTPS。浏览器兼容性
阅读全文
0 0
- HSTS 网站http跳转到https
- 从 HTTP 到 HTTPS 再到 HSTS
- 从HTTP到HTTPS再到HSTS
- 从HTTP到HTTPS再到HSTS
- 从http到https再到hsts
- 从 HTTP 到 HTTPS 再到 HSTS
- 从 HTTP 到 HTTPS 再到 HSTS
- 从 HTTP 到 HTTPS 再到 HSTS
- nginx启用HSTS以支持从http到https不通过服务端而自动跳转
- apache中通过HSTS实现http请求强制跳转到https
- 从HTTP到HTTPS再到HSTS的演化
- nginx网站开启https访问,http自动跳转到https
- HTTP,HTTPS和HSTS详解
- C# MVC 网站将http强制跳转到https
- nginx http 跳转到https
- HTTP 网站升级到 HTTPS 。
- http登陆后跳转到https
- https 跳转到 http, referer获取
- TCP/IP 详解:arp 学习笔记
- 习题5.5 5.6
- Python的Cookie详解
- Python 如何用列表实现栈和队列
- 【Python】asyncio异步爬虫
- HSTS 网站http跳转到https
- 消息队列技术之基本概念
- 二进制位运算
- x$bh找到buffer cache属于哪个pool
- 2017年 代做安卓毕业设计 Android毕业设计
- 第五届电气学院比赛之XXX——整体设计
- Exception 异常
- magento 开发 -- 入门深入理解第六章 – 高级Magento模型
- 稀疏矩阵(快速定位转置)