聊一聊什么是HSTS

最新推荐文章于 2024-09-11 20:00:00 发布
最新推荐文章于 2024-09-11 20:00:00 发布
阅读量2.5k 收藏 2
点赞数
分类专栏: Fiddler HTTP PKI/CA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq19970496/article/details/104492468
版权
PKI/CA 同时被 3 个专栏收录
18 篇文章 2 订阅
订阅专栏
Fiddler
7 篇文章 2 订阅
订阅专栏
HTTP
5 篇文章 1 订阅
订阅专栏

当用fiddler抓包工具抓取某些HTTPS网站,浏览器页面显示无法访问,提示该网站使用了HSTS。那究竟什么是HSTS呢?它的作用是什么呢?

HSTS是HTTP严格传输安全协议(英语:HTTP Strict Transport Security,简称:HSTS)。

目前HTTPS网站存在下面弱点:
1、当用户在浏览器中输入www.baidu.com,浏览器默认会将访问http://www.baidu.com,而不是https://www.baidu.com。将由服务器将http请求重定向到https,但这将消耗服务器的性能资源。
2、当HTTPS网站中使用的是自签名证书(或者不在浏览器的证书信任列表中),浏览器会发出网站存在安全风险警告,但不会中止HTTPS网站访问,并询问用户是否信任该证书,继续访HTTPS网站。安全风险由用户决定。我们fiddler抓取HTTPS网站时,网站的证书已经被fifdler截获,而此浏览器中显示的证书,为fiddler创建的证书,所以也会报警告(也叫中间人攻击)。
通过设置HSTS可以消除上面的威胁。那HSTS是如何做到的呢?需要服务器和客户端(浏览器)如何配合呢?
我们来看一下百度的请求/响应报文:
在这里插入图片描述
在响应头部发现了下面这一行数据:

Strict-Transport-Security: max-age=172800

参数意思:在172800秒内,浏览器只要再向百度或其子域名发送HTTP请求时,由浏览器自动转成HTTPS来发起连接。这样可以减少服务器重定向的处理和被中间人截获请求的风险。
应用原理:实施HSTS配置的网站一般是和服务器的301重定向进行配合使用,当用户第一次输入HTTP网站的时候,此时浏览器并没有转换成HTTPS网站访问,因为浏览器不知道该网站是HTTP还是HTTPS(即浏览器没有该网站的STS头部),所以浏览器发出的是HTTP请求。服务器收到HTTP请求后,重定向到HTTPS网站,再输出HSTS头部,接下来的HTTP请求,浏览器就会转换成HTTPS请求进行访问。
知道原理那我们如何抓HTTPS请求呢?请看下面的博客。
Fiddler抓取https://www.baidu.com报文

索菲亚李
关注
专栏目录
聊聊Nginx 配置 SSL(HTTPS)详细
java专栏
04-13 930
在该块中,你需要设置 ssl_certificate 和 ssl_certificate_key 指令,分别指向你的 SSL 证书和私钥文件。注意,如果你的站点之前是通过 HTTP 访问的,你可能还需要配置重定向,将所有 HTTP 请求重定向到 HTTPS。这将生成三个文件:ssl.key(私钥),ssl.csr(证书请求),和 ssl.crt(自签名证书)。Nginx 配置 SSL(HTTPS)是一个相对直接的过程,主要涉及生成 SSL 证书和私钥,然后在 Nginx 配置文件中指定这些文件。
HSTS----HTTP严格传输安全协议
Swee
07-16 1278
HTTP严格传输安全协议(英语:HTTP Strict Transport Security,简称:HSTS),是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。 缘起:启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不
HSTS是什么
VegetableKCCCC的博客
09-08 2308
HSTS(HTTP Strict Transport Security) HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议 HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。 国际互联网工程组织IETE正在推行一种新的Web安全协议HTTP Strict Transport Security(HSTS),采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入
因为此网站使用了 HSTS。网络错误和攻击通常是暂时的
q1508014114的博客
08-06 1737
3、滑到最底下Delete domain security policies处输入被HSTS的域名,点击Delete后,刷新一下即可打开。不行就多点Delete几下总会可以的!Chrome 解决: 您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常。2、可以在Query HSTS/PKP domain处搜索你的网站是否列为static HSTS条目,1、Chrome浏览器地址栏处打开:chrome://net-internals/#hsts
什么是HSTS,为什么要使用它?
青春木鱼的博客
01-14 3087
HSTS 是 HTTP 严格传输安全(HTTP Strict Transport Security) 的缩写。 这是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。 如果一个网站声明了 HSTS 策略,浏览器必须拒绝所有的 HTTP 连接并阻止用户接受不安全的 SSL 证书。 目前大多数主流浏览器都支持 HSTS (只有一些移动浏览器无法使用它)。
HSTS是什么?怎么取消HSTS?怎么查询HSTS
m0_46665077的博客
06-17 1万+
HSTS是什么?怎么取消HSTS?怎么查询HSTS
浅析HSTS
weixin_34235371的博客
10-10 269
浅析HSTS 一、HSTS是什么? HSTS全称:HTTP Strict Transport Security,意译:HTTP严格传输安全,是一个Web安全策略机制。 二、HSTS解决什么问题? 它解决的是:网站从Http转跳到Https时,可能出现的安全问题。 一般从Http跳转Https的流程: Client从Http切换到Https前是明文传输,因...
HTTPS 到底加密了什么?
热门推荐
weixin_36811791的博客
06-21 2万+
关于 HTTP 和 HTTPS 这个老生常谈的话题,我们之前已经写过很多文章了,比如这篇《从HTTP到HTTPS再到HSTS》,详细讲解了 HTTP 和 HTTPS 的进化之路,对的没错,就是 HTTP 兽进化 HTTPS 兽。 那么今天我们主要聊一聊 HTTPS 到底加密了些什么内容。 先跟大家讲个故事,我初恋是在初中时谈的,我的后桌。那个时候没有手机这类的沟通工具,上课交流有三宝,脚踢...
面试总结(1)---7.28
刘群智的博客
07-28 1616
Ajax关于readyState(状态值)和status(状态码)的研究 var getXmlHttpRequest = function () {     try{         //主流浏览器提供了XMLHttpRequest对象         return new XMLHttpRequest();     }catch(e){         //低版本的IE浏览器没有...
HTTP协议29 丨 我应该迁移到HTTPS吗?
qq_53280238的博客
07-08 969
今天是“安全篇”的最后一讲,我们已经学完了 HTTPS、TLS 相关的大部分知识。不过,或许你心里还会有一些困惑:“HTTPS 这么复杂,我是否应该迁移到 HTTPS 呢?它能带来哪些好处呢?具体又应该怎么实施迁移呢?这些问题不单是你,也是其他很多人,还有当初的我的真实想法,所以今天我就来跟你聊聊这方面的事情。
Nginx与Let‘s Encrypt:免费实现全站HTTPS加密
最新发布
java专栏
09-11 1577
HTTPS其实是HTTP的安全版,也就是超文本传输协议的加密版本。它通过SSL/TLS证书来加密你的数据传输,这样即使有人截获了你的数据包,他们也无法读取其中的内容,只能看到一堆乱码。😎欢迎来到第二章,今天我们要介绍的是Web服务器的守护者——Nginx!🛡️通过设置自动续期,我们可以确保网站的SSL证书始终保持最新,从而保障网站的安全和信任度。如果遇到任何问题,不要犹豫,及时检查日志并寻求帮助。故障排查是一个系统性的过程,需要我们耐心和细致。
HSTS
weixin_33840661的博客
05-26 111
一、简介   二、部署   三、其他 1)利用 HSTS 安全协议柔性解决全站HTTPS 的兼容性问题 http://www.toutiao.com/a6383719177903833346/
HSTS(HTTP 严格传输安全)
allway2的博客
09-05 3416
最后,可以(并且强烈推荐)将您的 HSTS 标头预加载到主要 Web 浏览器的源代码中,方法是将您的域提交到 hstspreload.org。在这种情况下,攻击仍然是可能的,因为攻击者在实际的 Web 服务器有机会告诉用户的浏览器使用 HSTS 之前接管了连接。正如我之前提到的,预加载是一种机制,即使用户第一次访问该网站,您也可以使用该机制使用 HSTS 标头保护您的网站。幸运的是,对于不想要任何未加密连接的网站,有一种选择加入机制。幸运的是,有一个解决方案,我保证你会在本文结束时了解它的一切。
HSTS 详解,让 HTTPS 更安全
weixin_33866037的博客
04-25 302
随着互联网的快速发展,人们在生活中越来越离不开互联网。无论是社交、购物还是搜索,互联网都能给人带来很多的便捷。与此同时,由于用户对网络安全的不了解和一些网站、协议的安全漏洞,让很多用户的个人信息数据“裸露”在互联网中。为此谷歌在 Chrome 68 版本后,其界面将会让使用者更容易了解 HTTP 网页是不安全的,并持续推动网站预设使用 HTTPS。但 HTTP 依旧可以访问使用,为此一些网站可以设...
HSTS详解
喵叫兽的博客
09-27 6728
1. 缘起:启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不过浏览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器和浏览器的协作,如下图所示。 图1:服务器和浏览器在背后帮用户做了很多工...
此网站使用了hsts是什么情况
09-18
HTTP严格传输安全性(HTTP Strict Transport Security,HSTS)是一种网络安全机制,旨在提高网站的安全性。当一个网站使用了HSTS时,它会告知浏览器在未来一段时间内只通过HTTPS与该网站建立连接,而不是使用不安全的HTTP。下面是关于此网站使用了HSTS的几种情况: 1. 数据传输加密:HSTS可以确保网站与用户之间的数据传输是加密的,这样敏感信息如密码、个人资料等就不容易被黑客截获。 2. 防止中间人攻击:通过HSTS,网站可以防止中间人攻击,因为即使在用户首次访问网站时遭受劫持,浏览器会记住并强制使用HTTPS连接。 3. 强制使用HTTPS:HSTS可以强制浏览器始终使用HTTPS与该网站通信,即使用户手动输入"http://"或链接中的协议也会被自动转换为HTTPS。这有助于减少用户的错误操作,提高安全性。 4. 防止对URL劫持:如果有恶意软件或恶意的网络设备替换了网页上的链接,它们会将用户重定向到恶意网站。使用HSTS可以防止这种URL劫持攻击,确保用户始终连接到正确的网站。 综上所述,此网站使用了HSTS可以提高用户和网站之间数据传输的安全性,防止中间人攻击和URL劫持等恶意行为,并强制浏览器始终使用HTTPS,确保用于与网站通信的协议是安全的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

索菲亚李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值