HSTS是什么?怎么取消HSTS?怎么查询HSTS

已于 2023-06-17 21:45:01 修改
阅读量1.3w 收藏 12
点赞数 4
文章标签: firefox chrome devtools chrome edge浏览器 ssl https http
于 2023-06-17 21:41:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46665077/article/details/131264541
版权

HSTS是什么

HSTS 是 HTTP 严格传输安全(HTTP Strict Transport Security)的缩写,是一个Web安全策略机制。
HSTS最为核心的是一个HTTP响应头(HTTP Response Header),它可以让浏览器在接下来一段时间内,当前域名只能通过HTTPS进行访问,并且在浏览器发现当前连接不安全的情况下,强制拒绝用户的后续访问要求;如果浏览器接收到使用HTTP加载资源的请求,则必须尝试使用HTTPS请求替代;如果HTTPS不可用,则直接终止连接。

HSTS Header的语法如下:

Strict-Transport-Security: <max-age=>[; includeSubDomains][; preload]
其中:
max-age		#是必选参数,是一个以秒为单位的数值,它代表着HSTS Header的过期时间,通常设置为1年,即31536000秒
includeSubDomains		#是可选参数,如果包含它,则意味着当前域名及其子域名均开启HSTS保护
preload		#是可选参数,只有当你申请将自己的域名加入到浏览器内置列表的时候才需要使用到它

设置HSTS

以请求 http://www.baidu.com为例,分为如下2个步骤说明:
在这里插入图片描述

1、客户端浏览器输入http://www.baidu.com时,默认走的是http协议;服务器收到客户端请求后,发现域名应该走https,于是个客户端返回重定向302,指向https://www.baidu.com/
在这里插入图片描述
2、客户端收到新的302重定向后,重新向https://www.baidu.com/发起请求,此时服务端响应头中包含Strict-Transport-Security,参数为max-age=172800(2天时间)
在这里插入图片描述
3、在max-age时间内,此浏览器请求www.baidu.com均会强制通过https访问。

查询域名是否支持HSTS

每个浏览器查询方式不一样,部分浏览器参如如下:

1、Edge浏览器:edge://net-internals/#hsts
在这里插入图片描述
2、Chrome浏览器:chrome://net-internals/#hsts
在这里插入图片描述
3、Firefox浏览器:
1)打开 Firefox 浏览器,在浏览器中输入“about:config”并回车
在这里插入图片描述
2)在搜索框中输入“security.mixed_content.block_active_content”,点击对话框中的“true”,将其设置为“false”
在这里插入图片描述
3)再次输入“security.mixed_content.block_display_content”,将其设置为“false”

4)关闭 Firefox 浏览器,并重新打开即可

@noNo
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx开启HSTS浏览器强制跳转HTTPS访问详解
09-29
主要介绍了nginx开启HSTS浏览器强制跳转HTTPS访问详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
网站无法打开,提示你现在无法访问网站,因为网站使用的是 HSTS
Junson142099的博客
04-25 1446
证书错误导致网站无法打开的问题处理方法
Google浏览器访问localhost显示无法访问此网站,localhost拒绝了我们的连接请求
最新发布
2302_77302329的博客
05-15 869
edge访问:edge://net-internals/#hsts。谷歌访问:chrome://net-internals/#hsts。删除成功后关掉浏览器再重新打开就可以访问localhost了。
burp https证书与关闭HSTS正确姿势
11-24
burp https证书与关闭HSTS正确姿势,决定干货,希望大家喜欢。
网络:为什么好端端的我访问不到了,什么是HSTS ???
shunzi2016的博客
07-22 240
好好的谷歌浏览器在访问kivy的示例代码时出现了如下的警示,说是网站使用了HSTS协议,导致我无法继续浏览.据我一番分析推敲(百度)之后,了解到HSTS是一种安全协议,是为了防止网络攻击。它通过浏览器智能通过SSL和TLS加密通信才能与网站建立安全链接。但是为了继续浏览网页学习新知识,也职能仿效关闭hsts。1.谷歌浏览器输入:chrome://net-internals/#hsts。4.再次访问就可以了不过还是会有提示网站不安全的,不过已经可以继续访问。
如何关闭常见浏览器HSTS 功能
weixin_30596023的博客
03-10 1053
在安装配置 SSL 证书时,可以使用一种能使数据传输更加安全的Web安全协议,即在服务器端上开启HSTS (HTTP Strict Transport Security)。它告诉浏览器只能通过HTTPS访问,而绝对禁止HTTP方式。 HTTP Strict Transport Security (HSTS) is an opt-in security enhancement that is sp...
Owin.Hsts:用于 Http 严格传输安全 (HSTS) 规范的 OWIN 中间件
07-12
欧文.Hsts 根据说法,HTTP 严格传输安全 (HSTS) 不仅可以强制加密会话,还可以阻止使用无效数字证书的攻击者,从而保护用户免受多种威胁,尤其是中间人攻击。 HTTP 严格传输安全 (HSTS) 是一种可选的安全增强功能,由 Web 应用程序通过使用特殊响应标头指定。 一旦受支持的浏览器收到此标头,该浏览器将阻止通过 HTTP 向指定域发送任何通信,而是通过 HTTPS 发送所有通信。 它还可以防止浏览器上的 HTTPS 点击提示。 该规范已于 2012 年底由 IETF 作为 (HTTP 严格传输安全 (HSTS))发布 * 该软件包旨在为开发人员提供以标准化方式有效支持该规范所需的中间件。 要安装包,请在中搜索Owin.Hsts或从包控制台运行以下命令: Install-Package Owin.HSTS 然后打开Startup.cs并添加以下内容: usin
宝塔如何关闭HSTS,应对chrome访问网站提示“网站使用了HSTS
编辑编辑器
05-22 2442
打开浏览器,输入网站地址,提示如下: 打开配置文件,去除掉这行代码即可: add_header Strict-Transport-Security "max-age=31536000"; [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-W4welbUD-1653186302715) 修改后,保存 网站即可正常被访问。 ...
HSTS是什么
VegetableKCCCC的博客
09-08 2247
HSTS(HTTP Strict Transport Security) HSTSHTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议 HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。 国际互联网工程组织IETE正在推行一种新的Web安全协议HTTP Strict Transport Security(HSTS),采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入
HSTS 严格传输安全
Sunny_Ducky的博客
08-21 1705
HSTS HTTP Strict Transport Security HTTP严格传输安全 背景 当我们在地址栏输入sjtusec.com的时候,浏览器是怎样转成HTTPS的呢?这里说一下重定向。在当时将证书安装在服务器时,需要在配置文件中添加重定向信息。 该mod_write模块使用基于规则的重写引擎,基于正则表达式,动态重写请求的URL1,将HTTP转为HTTPS。如当我在地址栏中输入h...
HSTSHTTP 严格传输安全)
allway2的博客
09-05 3104
最后,可以(并且强烈推荐)将您的 HSTS 标头预加载到主要 Web 浏览器的源代码中,方法是将您的域提交到 hstspreload.org。在这种情况下,攻击仍然是可能的,因为攻击者在实际的 Web 服务器有机会告诉用户的浏览器使用 HSTS 之前接管了连接。正如我之前提到的,预加载是一种机制,即使用户第一次访问该网站,您也可以使用该机制使用 HSTS 标头保护您的网站。幸运的是,对于不想要任何未加密连接的网站,有一种选择加入机制。幸运的是,有一个解决方案,我保证你会在本文结束时了解它的一切。
HSTS新的WEB案例协议,使用HTTPSHSTS需要注意一个问题,HTTP页面合建的WIFI会有个麻烦问题.zip
01-07
HSTS新的WEB案例协议,使用HTTPSHSTS需要注意一个问题,HTTP页面合建的WIFI会有个麻烦问题.zip
fastify-hsts:用于HTTP严格传输安全性的Fastify插件
05-03
安装通过npm: npm i fastify-hsts 通过纱: yarn add fastify-hsts 用法const fastify = require ( 'fastify' ) ;const fastifyHsts = require ( 'fastify-hsts' ) ;const app = fastify ( ) ;app . register ( ...
hstspreload.org:Chromium的HSTS预载列表提交网站
02-02
此文件夹包含的HSTS预载列表提交网站的。 请参阅以用于根据提交要求检查网站的核心库。 发展历程 要求 go开发环境。 用于运行JAR文件的java命令行程序(适用于Cloud Datastore Emulator)。 go get github....
hstsparser:一种将FirefoxChrome HSTS数据库解析为取证工件的工具!
02-05
HSTS解析器 HSTS Parser是一个简单的工具,可将FirefoxChromeHSTS数据库解析为实际有用的取证工具! 您可以在 上阅读有关此工具背后的研究及其潜在用途的更多信息!安装HSTS Parser可以通过pip或进行安装。从...
HSTS-SuperCookies
07-24
HSTS-SuperCookies 第1步 总共创建 32 个属于pynerd.xyz子域,从 0 到 31,因为 SuperCookie 是 32 位的。 第2步 更新 Nginx 服务器配置,如nginx.conf 。 server { server_name "~^(?<name>\w+)\.hsts\.your-...
[转]HSTS是什么?怎么取消HSTS?怎么查询HSTS-CSDN博客
Admans的专栏
01-31 313
HSTS最为核心的是一个HTTP响应头(HTTP Response Header),它可以让浏览器在接下来一段时间内,当前域名只能通过HTTPS进行访问,并且在浏览器发现当前连接不安全的情况下,强制拒绝用户的后续访问要求;重定向后,重新向https://www.baidu.com/发起请求,此时服务端响应头中包含Strict-Transport-Security,参数为max-age=172800(2天时间)1、客户端浏览器输入http://www.baidu.com时,默认走的是。
HTTP严格传输安全协议 (HSTS)
weixin_34061482的博客
05-22 1232
2019独角兽企业重金招聘Python工程师标准>>> ...
此网站使用了hsts是什么情况
09-18
HTTP严格传输安全性(HTTP Strict Transport Security,HSTS)是一种网络安全机制,旨在提高网站的安全性。当一个网站使用了HSTS时,它会告知浏览器在未来一段时间内只通过HTTPS与该网站建立连接,而不是使用不安全的HTTP。下面是关于此网站使用了HSTS的几种情况: 1. 数据传输加密:HSTS可以确保网站与用户之间的数据传输是加密的,这样敏感信息如密码、个人资料等就不容易被黑客截获。 2. 防止中间人攻击:通过HSTS,网站可以防止中间人攻击,因为即使在用户首次访问网站时遭受劫持,浏览器会记住并强制使用HTTPS连接。 3. 强制使用HTTPSHSTS可以强制浏览器始终使用HTTPS与该网站通信,即使用户手动输入"http://"或链接中的协议也会被自动转换为HTTPS。这有助于减少用户的错误操作,提高安全性。 4. 防止对URL劫持:如果有恶意软件或恶意的网络设备替换了网页上的链接,它们会将用户重定向到恶意网站。使用HSTS可以防止这种URL劫持攻击,确保用户始终连接到正确的网站。 综上所述,此网站使用了HSTS可以提高用户和网站之间数据传输的安全性,防止中间人攻击和URL劫持等恶意行为,并强制浏览器始终使用HTTPS,确保用于与网站通信的协议是安全的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值