HSTS

最新推荐文章于 2023-09-18 10:16:29 发布
最新推荐文章于 2023-09-18 10:16:29 发布
阅读量280 收藏
点赞数
分类专栏: 计算机网络 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hit_Gwy/article/details/115288526
版权

HTTP严格传输安全(英语:HTTP Strict Transport Security,缩写:HSTS)是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。

HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议(HTTP)响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效,因为未加密的http内容可能被恶意攻击者篡改导致无法验证是否是服务器发出的消息,无法保证服务器可以建立https通信。

比如,https://example.com/ 的响应头含有Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点:

  1. 在接下来的31536000秒(即一年)中,浏览器向example.com或其子域名发送HTTP请求时,必须采用HTTPS来发起连接。比如,用户点击超链接或在地址栏输入 http://www.example.com/ ,浏览器应当自动将 http 转写成 https,然后直接向 https://www.example.com/ 发送请求。
  2. 在接下来的一年中,如果 example.com 服务器发送的TLS证书无效,用户不能忽略浏览器警告继续访问网站。

语法如下:

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; preload
hit_gwy
关注
专栏目录
Owin.Hsts:用于 Http 严格传输安全 (HSTS) 规范的 OWIN 中间件
07-12
欧文.Hsts 根据说法,HTTP 严格传输安全 (HSTS) 不仅可以强制加密会话,还可以阻止使用无效数字证书的攻击者,从而保护用户免受多种威胁,尤其是中间人攻击。 HTTP 严格传输安全 (HSTS) 是一种可选的安全增强功能,由 Web 应用程序通过使用特殊响应标头指定。 一旦受支持的浏览器收到此标头,该浏览器将阻止通过 HTTP 向指定域发送任何通信,而是通过 HTTPS 发送所有通信。 它还可以防止浏览器上的 HTTPS 点击提示。 该规范已于 2012 年底由 IETF 作为 (HTTP 严格传输安全 (HSTS))发布 * 该软件包旨在为开发人员提供以标准化方式有效支持该规范所需的中间件。 要安装包,请在中搜索Owin.Hsts或从包控制台运行以下命令: Install-Package Owin.HSTS 然后打开Startup.cs并添加以下内容: usin
服务器配置HSTS(IIS和Tomcat)
每天学习一点点
04-19 5222
如果缺少HSTS配置,网站可能会被扫描出如下图所示的漏洞 服务器开启HSTS的方法 IIS操作方法: 确认是否安装 “URL 重写” 或者 “URL Rewrite” 模块 , 如果您已经安装可以跳过。 “URL重写” 模块下载地址 https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads 已经安装模块的话,在iis的界面可以看到如下图所示的图标: 点击“添加规则” .
Spring-Security对HTTP相应头的安全支持
盲目的拾荒者的博客
04-05 1万+
Spring Security支持在响应中添加各种安全头,默认相应安全头: Cache-Control: no-cache, no-store, max-age=0, must-revalidate Pragma: no-cache Expires: 0 X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=...
网站安全整改记录
954L
12-18 893
一个项目拿去做安全评测,评测的一些问题这里做一个记录以及对应的解决方案。     1.发现可高速缓存的SSL页面   解决思路 禁用所有页面被浏览器缓存。 在响应中添加两个header。 Cache-Control:no-store Pragma:no-cache 参考资料:浅谈http中的Cache-Control     2.启用了不安全的“OPTIONS”http方法...
怎么设置 HSTS 头字段
蔚可云的博客
02-10 2410
HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。 HSTS响应头格式 Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload] max-age,单位是秒,用来告诉浏览器在指定时间内,
HSTS新的WEB案例协议,使用HTTPS的HSTS需要注意一个问题,HTTP页面合建的WIFI会有个麻烦问题.zip
01-07
HSTS新的WEB案例协议,使用HTTPS的HSTS需要注意一个问题,HTTP页面合建的WIFI会有个麻烦问题.zip
HSTS-SuperCookies
07-24
HSTS-SuperCookies 第1步 总共创建 32 个属于pynerd.xyz子域,从 0 到 31,因为 SuperCookie 是 32 位的。 第2步 更新 Nginx 服务器配置,如nginx.conf 。 server { server_name "~^(?<name>\w+)\.hsts\.your-...
cloud_hsts:将HSTS标头添加到@Nextcloud响应
05-11
此应用程序的唯一目的是将标头添加到不支持通过服务器配置文件(例如.... hsts.includeSubDomains (布尔值)也将HSTS规则应用于所有子域; 默认值= false hsts.preload (布尔值)允许将域添加到; 默认值= false
HSTS-somewhere-crx插件
04-02
1. **安全性**:虽然HSTS提高了网站的安全性,但它无法保护首次访问或从未访问过的网站,因为此时浏览器还未接收到网站的HSTS策略。此外,如果HSTS列表被恶意篡改,可能会导致原本不安全的网站也被强制使用HTTPS,...
Appscan安全漏扫问题总结
weixin_30527551的博客
05-15 1283
最近解决Appscan安全漏洞扫描软件上的漏洞,遇到不少问题,趁热打铁写个总结。 下面罗列问题类型,截图,以及解决方案。 1.SQL盲注 对于一些sql关键词过滤掉即可。 public static boolean checkWebUnSafesql(String word){ String str=word.replaceAll("'", "").rep...
AppScan安全扫描:常见header头安全问题处理
爱兰河少
01-30 7078
1、nginx配置添加一下代码: add_header X-Frame-Options 'SAMEORIGIN'; # 只允许本站用 frame 来嵌套 add_header X-XSS-Protection '1; mode=block'; # XSS 保护 add_header X-Content-Type-Options 'nosniff';#响应头可以禁用浏览器的类型猜测行为 add_...
启用了被称为 HTTP 严格传输安全(HSTS)的安全策略,Firefox 只能与其建立安全连接
weixin_46504044的博客
03-27 2万+
启用了被称为 HTTP 严格传输安全(HSTS)的安全策略,Firefox 只能与其建立安全连接问题描述解决方案 问题描述 用Firefox打开Github时有时会报错,如图所示: 解决方案 在地址栏里输入about:config 勾选警示,然后点接受风险并继续 搜索security.enterprise_roots.enabled,把默认false改为true 重启浏览器 ...
HSTS 严格传输安全
Sunny_Ducky的博客
08-21 2116
HSTS HTTP Strict Transport Security HTTP严格传输安全 背景 当我们在地址栏输入sjtusec.com的时候,浏览器是怎样转成HTTPS的呢?这里说一下重定向。在当时将证书安装在服务器时,需要在配置文件中添加重定向信息。 该mod_write模块使用基于规则的重写引擎,基于正则表达式,动态重写请求的URL1,将HTTP转为HTTPS。如当我在地址栏中输入h...
HSTS详解
Hdx的博客
01-11 3万+
简介 HSTSHTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议 HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。 国际互联网工程组织IETE正在推行一种新的Web安全协议HTTP Strict Transport Security(HSTS),采用HSTS协议的网站将保证浏览器始终连接到该网站的HTT
firefox因 HTTP 严格传输安全(HSTS)机制无法打开网页
weixin_33847182的博客
12-28 1万+
1、打开about:config 2、查找: security.enterprise_roots.enabled ,默认为false,改为true就可以了 3、吐槽,firefox太极端了,这是作死。
HSTS是什么?怎么取消HSTS?怎么查询HSTS
m0_46665077的博客
06-17 1万+
HSTS是什么?怎么取消HSTS?怎么查询HSTS
Mac下Charles打开时firefox提示「您的连接并不安全」解决方法!
weixin_34364071的博客
04-14 1064
问题说明 关于Charles抓包工具打开时 「firefox」浏览器打不开网页并提示 「您的连接并不安全」问题,Charles使用当前最新版本「v4.2.5」, firefox使用版本为 「59.0.2」 Charles版本 Firefox版本 firefox安全链接提示 出现这个「您的连接并不安全」那么很多的使用者说可以通过配置F...
解决: 您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
热门推荐
青春木鱼的博客
01-16 6万+
使用“thisisunsafe”解决: 您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
HSTS安全策略在浏览器中的应用
Free雅轩的博客
09-18 386
浏览器厂商们为了解决这个问题,提出了HSTS Preload List方案:内置一份可以定期更新的列表,对于列表中的域名,即使用户之前没有访问过,也会使用HTTPS协议。最佳的部署方案是部署在离用户最近的位置,例如:架构有前端反向代理和后端Web服务器,在前端代理处配置HSTS是最好的,否则就需要在Web服务器层配置HSTS。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。用户首次访问某网站是不受HSTS保护的。
HSTS error
最新发布
06-15
HSTS ...要避免这些错误,建议在生产环境中逐步启用HSTS,设置较短的初始时间(如5分钟),并在确认网站功能正常后再逐渐增加有效期。同时,定期检查HSTS设置是否有效,以防止安全漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值