apache中通过HSTS实现http请求强制跳转到https

最新推荐文章于 2023-09-18 10:16:29 发布
最新推荐文章于 2023-09-18 10:16:29 发布
阅读量2.8k 收藏 1
点赞数 1
分类专栏: Linux命令学习

apache中通过HSTS实现http请求强制跳转到https

发表于 2017年8月9日 hengxia

1. HSTS:

        HSTS全称HTTP Strict Transport Security,是国际互联网工程组织IETE正在推行的一种新的Web安全协议。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。
        服务器端配置支持HSTS后,会在浏览器返回的HTTP首部中携带HSTS字段。浏览器获取该信息后,会将所有HTTP访问请求在内部做307跳转到HTTPS。而无需任何网络过程。

2.HSTS preload list

        是Chrome浏览器中的HSTS预载入列表,在该列表中的网站,使用Chrome浏览器访问时,会自动转换成HTTPS。Firefox、Safari、Edge浏览器也会采用这个列表。

3.实现HSTS示例:

vim /etc/httpd/conf/httpd.conf  # 末尾新增下面三行
Header always set Strict-Transport-Security "max-age=15768000"
RewriteEngine on
RewriteRule ^(/.*)$ https://%{HTTP_HOST}$1 [redirect=301]

4. HSTS的不足:

        用户首次访问某网站是不受HSTS保护。这是因为首次访问时,浏览器还未收到HSTS,所以仍有可能通过明文HTTP来访问。


转载自https://www.hengxia.top/54.html

miouqi
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解码Nginx如何快速实现HSTS跳转
vTrus
12-17 232
什么是HSTS HSTS是国际互联网工程组织 IETF 正在推行一种新的Web安全协议,网站采用HSTS后,用户访问时无需手动在地址栏输入 HTTPS,浏览器会自动采用 HTTPS 访问网站地址,从而保证用户始终访问到网站的加密链接,保护数据传输安全。 浏览器版本支持 Chromium和Google Chrome从4.0.211.0版本开始支持HSTS Firefox 4及以上版本 Opera 12及以上版本 Safari从OS X Mavericks起 Internet Explorer从Windows
nginx、Apache、Lighttpd启用HSTS
weixin_30402343的博客
08-17 64
302跳转 通常情况下,我们将用户的 HTTP 请求 302 跳转HTTPS,这会存在两个问题: 不够安全,302 跳转会暴露用户访问站点,也容易被劫持 拖慢访问速度,302 跳转需要一个 RTT(The role of packet loss and round-trip time),浏览器执行跳转也需要时间 HSTS 302 跳转是由浏览器触发的,服务器无法完全控制,这个...
如何配置使用 HTTP 严格传输安全(HSTS
刘书的IT博客
10-25 1万+
HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过: Nginx 1.1.19、 Lighttpd 1.4.28 和 Apache 2.2.22 ,环境为 Ubuntu 12.04、 Debi
Apache Rewrite实现URL的跳转和域名跳转
小武-php之家
09-16 1060
1、Rewirte主要的功能就是实现URL的跳转,它的正则表达式是基于Perl语言。可基 于服务器级的(httpd.conf)和目录级的 (.htaccess)两种方式。如果要想用到rewrite模块,必须先安装或加载rewrite模块。方法有两种一种是编译apache的时候就直接 安装rewrite模块,别一种是编译apache时以DSO模式安装apache,然后再利用源码和apxs来安装rew
深入剖解HSTS,启动HTTPS强制机制
weixin_33949359的博客
03-25 387
关于HSTS的定义 HSTS全称是HTTP Strict Transport Security,文名HTTP严格传输安全,诞生于2012年,至今已有五年历史。它是一种Web安全策略机制(web security policy mechanism),IETF标准轨道协议,其功能是强制客户端(如浏览器)使用HTTPS与服务器创建连接。 作用 强制浏览器直接发起HTTPS请求,拒绝不安全的链接 抵御S...
http跳转https配置实例
kevinsingapore的博客
08-03 1518
作用段:    server {         listen 80;         server_name aa.bb.ai;       #访问http://aa.bb.ai的请求跳转https://aa.bb.ai        rewrite ^/(.*)$ https://aa.bb.ai/$1 permanent;             } ...
宝塔如何关闭HSTS,应对chrome访问网站提示“网站使用了HSTS
编辑编辑器
05-22 2493
打开浏览器,输入网站地址,提示如下: 打开配置文件,去除掉这行代码即可: add_header Strict-Transport-Security "max-age=31536000"; [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-W4welbUD-1653186302715) 修改后,保存 网站即可正常被访问。 ...
HSTS安全策略在浏览器的应用
最新发布
Free雅轩的博客
09-18 320
浏览器厂商们为了解决这个问题,提出了HSTS Preload List方案:内置一份可以定期更新的列表,对于列表的域名,即使用户之前没有访问过,也会使用HTTPS协议。最佳的部署方案是部署在离用户最近的位置,例如:架构有前端反向代理和后端Web服务器,在前端代理处配置HSTS是最好的,否则就需要在Web服务器层配置HSTS。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏输入加密地址,以减少会话劫持风险。用户首次访问某网站是不受HSTS保护的。
检测到目标Strict-Transport-Security响应头缺失
lxyoucan的博客
07-14 4959
其可选的值有: max-age=SECONDS,表示本次命令在未来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞危害: Web 服务器对于 HTTP 请求的响应头缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
burp https证书与关闭HSTS正确姿势
11-24
burp https证书与关闭HSTS正确姿势,决定干货,希望大家喜欢。
Web性能优化之Apache
hldh214的博客
06-02 1132
一直以来, 实现强制https的方法是使用Apache的rewrite模块来进行重定向, 这样存在几个问题, 第一是性能问题, 第二是可能遇到不支持https的客户端…..等等, 便有此文
怎么修复apache HTTP严格传输安全保障漏洞
u013930899的博客
05-07 1238
公司在做漏洞扫描时,检测到网站存在“HTTP严格传输安全保障”漏洞,怎么修复呢? 1. 漏洞描述 HTTP协议本身是明文,这意味着可以捕获通过HTTP传输的任何数据并查看内容。 为了保护数据的私密性并防止数据被截获,HTTP通常通过安全套接字层(SSL)或传输层安全性(TLS)连接进行隧道传输。 当使用这些加密标准的任何一个时,它被称为HTTPS。 HTTP严格传输安全性(HSTS)是可选的响应头,可以在服务器上配置,以指示浏览器仅通过HTTPS进行通...
如何关闭浏览器的HSTS功能
The Life with iOS
11-14 6740
在安装配置 SSL 证书时,可以使用一种能使数据传输更加安全的Web安全协议,即在服务器端上开启 HSTS (HTTP Strict Transport Security)。它告诉浏览器只能通过HTTPS访问,而绝对禁止HTTP方式。 HTTP Strict Transport Security (HSTS) is an opt-in security enhancement that is s
html增加hsts头,nginx、Apache、Lighttpd启用HSTS
weixin_35804761的博客
06-30 436
302跳转通常情况下,我们将用户的 HTTP 请求 302 跳转HTTPS,这会存在两个问题:不够安全,302 跳转会暴露用户访问站点,也容易被劫持拖慢访问速度,302 跳转需要一个 RTT(The role of packet loss and round-trip time),浏览器执行跳转也需要时间HSTS302 跳转是由浏览器触发的,服务器无法完全控制,这个需求导致了 HSTS(HTT...
apache [warn] module XXXX_module is already loaded, skipping
知跬步,至千里
04-25 7882
今天在重启Apache的时候碰到这个Warn,在这里记录一下: 首先发现如下Warn: # service apache2 restart [Thu Apr 25 09:39:06 2019] [warn] module headers_module is already loaded, skipping Syntax OK Shutting down httpd2 (waiting for a...
apache如何设置http自动跳转https
harry
08-01 3197
点击打开链接      如何设置http自动跳转https?apache环境下,配置好https后,需要设置url重定向规则,使网站页面的http访问都自动转到https访问。 1、先打开url重定向支持 1)打开Apache/conf/httpd.conf,找到 #LoadModule rewrite_module modules/mod_rewrite.so 去掉#号。 2)
nginx启用HSTS以支持从http到https不通过服务端而自动跳转
热门推荐
liberalman的专栏
05-18 1万+
最近对我的个人网站启用了Https,所以想设置http默认自动转https访问的功能,但又不想总让服务端做转发操作,那样浪费资源。那么有什么好的办法呢?302跳转通常将 HTTP 请求 302 跳转HTTPS,但有问题:1.不安全,302 跳转会暴露用户访问站点,易被劫持。2.多增加一次访问,使得客户端响应速度慢。302 跳转需要一个 RTT(The role of packet loss an
浏览器自动转到外国服务器,通过HSTS实现浏览器自动跳转https(非服务器响应跳转)...
weixin_28795271的博客
07-31 929
全称 HTTP Strict Transport SecurityHSTS目的是让浏览器在访问网站的时候浏览器内部自动实现https协议访问(不需要服务器告诉浏览器跳转https)。在没有hsts功能时,需要自己在nginx里配置http跳转https。但是这样每个请求(可能)都需要nginx告诉浏览器你访问的地址需要跳转https,这样就浪费了时间。hsts需要在第一次访问https时,服务器...
开启HSTS强制https配置
04-04
HSTS(HTTP Strict Transport Security)是一种安全协议,可以强制网站使用 HTTPS 加密连接,从而防止恶意攻击者通过间人攻击窃取用户的敏感信息。启用 HSTS 需要在网站服务器上配置,下面是一些常见的 HSTS 配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值