HSTS----HTTP严格传输安全协议

最新推荐文章于 2023-10-24 11:45:40 发布
最新推荐文章于 2023-10-24 11:45:40 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: Web知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43497161/article/details/107388751
版权

HTTP严格传输安全协议(英语:HTTP Strict Transport Security,简称:HSTS),是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。

  1. 缘起:启用HTTPS也不够安全
    有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不过浏览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器和浏览器的协作,如下图所示(服务器和浏览器在背后帮用户做了很多工作)

  2. 缘起:启用HTTPS也不够安全
    有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不过浏览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器和浏览器的协作,如下图所示(服务器和浏览器在背后帮用户做了很多工作)

简单来讲就是,浏览器向网站发起一次HTTP请求,在得到一个重定向响应后,发起一次HTTPS请求并得到最终的响应内容。所有的这一切对用户而言是完全透明的,所以在用户眼里看来,在浏览器里直接输入域名却依然可以用HTTPS协议和网站进行安全的通信,是个不错的用户体验。

一切看上去都是那么的完美,但其实不然,由于在建立起HT

最低0.47元/天 解锁文章
_SWEE_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
HSTS漏洞(缺少Strict-Transport-Security头)
墨痕诉清风的博客
05-17 585
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标头。理想回复响应头因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。
Owin.Hsts:用于 Http 严格传输安全 (HSTS) 规范的 OWIN 中间件
07-12
欧文.Hsts 根据说法,HTTP 严格传输安全 (HSTS) 不仅可以强制加密会话,还可以阻止使用无效数字证书的攻击者,从而保护用户免受多种威胁,尤其是中间人攻击。 HTTP 严格传输安全 (HSTS) 是一种可选的安全增强功能,由 Web 应用程序通过使用特殊响应标头指定。 一旦受支持的浏览器收到此标头,该浏览器将阻止通过 HTTP 向指定域发送任何通信,而是通过 HTTPS 发送所有通信。 它还可以防止浏览器上的 HTTPS 点击提示。 该规范已于 2012 年底由 IETF 作为 (HTTP 严格传输安全 (HSTS))发布 * 该软件包旨在为开发人员提供以标准化方式有效支持该规范所需的中间件。 要安装包,请在中搜索Owin.Hsts或从包控制台运行以下命令: Install-Package Owin.HSTS 然后打开Startup.cs并添加以下内容: usin
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一)
weixin_30556161的博客
02-11 287
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(二) HTTP strict transport security (HSTS) is defined inhttp://tools.ietf.org/html/ietf-websec-strict-transport-sec HTTP-based dynamic pu...
AWS问题记录(一):使用解析的域名访问显示连接不安全
zhuyunier的博客
01-19 3152
一、问题描述 最近项目中需要搭建AWS环境,创建了ELB负载均衡器后,ELB用到了SSL加密,并且使用的证书是AWS上创建的,在Route 53中使用ELB的DNS解析的二级域名放在浏览器中访问的时候报错: 二、问题分析 无法安全地与对等端通信:请求的域名与服务器的证书不匹配。 HTTP 严格传输安全(HSTS):false HTTP 公钥固定:false 举例如下: 我的域名为:aphrod...
HTTP 安全响应头(Security Response header)配置手册
sysin | SYStem INside
12-09 1万+
HTTP 安全响应头(Security Response header)配置手册
HSTS(HTTP 严格传输安全
allway2的博客
09-05 3126
最后,可以(并且强烈推荐)将您的 HSTS 标头预加载到主要 Web 浏览器的源代码中,方法是将您的域提交到 hstspreload.org。在这种情况下,攻击仍然是可能的,因为攻击者在实际的 Web 服务器有机会告诉用户的浏览器使用 HSTS 之前接管了连接。正如我之前提到的,预加载是一种机制,即使用户第一次访问该网站,您也可以使用该机制使用 HSTS 标头保护您的网站。幸运的是,对于不想要任何未加密连接的网站,有一种选择加入机制。幸运的是,有一个解决方案,我保证你会在本文结束时了解它的一切。
HTTP严格传输安全协议 (HSTS)
weixin_34061482的博客
05-22 1233
2019独角兽企业重金招聘Python工程师标准>>> ...
hsts-everywhere:强制Chrome在所有HTTPS连接上使用HTTP严格传输安全
05-14
HTTP严格传输安全性(HTTP Strict-Transport-Security,简称HSTS)是一种网络安全机制,用于增强网站的加密连接,确保用户与服务器之间的通信始终是通过安全的HTTPS协议进行,从而避免中间人攻击、SSL剥离等安全威胁...
生成工具KeyManager-Setup-4.4.19
03-25
它可以帮助设置和配置服务器的SSL/TLS设置,如选择合适的加密套件、启用HSTS(HTTP严格传输安全)和预加载列表,以及启用TLSv1.3等最新安全协议,以抵御最新的安全威胁。 总的来说,KeyManager-Setup-4.4.19是保障...
实验四-TLS实验指导1
08-08
需要编辑配置文件,例如创建`ssl-params.conf`,并设定安全的密码套件(SSLCipherSuite),禁用不安全的SSL版本(SSLProtocol),启用强加密选项(SSLHonorCipherOrder),以及设置HTTP严格传输安全(HSTS)和其他...
Web-安全渗透全套教程中间人.zip
05-22
2. **验证SSL/TLS证书**:确保浏览器只接受来自可信CA颁发的证书,并启用HSTS(HTTP严格传输安全)。 3. **使用安全协议和套件**:避免使用弱加密套件,如TLSv1.0和DES,转而使用更强大的加密,如TLSv1.2及以上版本...
HTTP安全必备(最佳实践).zip
03-10
在IT行业中,网络通信是核心部分之一,而HTTP(超文本传输协议)作为互联网上应用最广泛的一种网络协议,它的安全问题至关重要。本资源“HTTP安全必备(最佳实践).zip”显然是一份关于如何确保HTTP通信安全的指导...
(2022年12月)解决: 您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
热门推荐
qq1140037586的博客
12-22 2万+
HSTS:HSTS 是 HTTP 严格传输安全(HTTP Strict Transport Security) 的缩写。这是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。如果一个网站声明了 HSTS 策略,浏览器必须拒绝所有的 HTTP 连接并阻止用户接受不安全的 SSL 证书。您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常。正常理解到了这一步,删掉了访问域名的的域安全策略,重新刷新一下,网站就可以可以访问了。
HTTP Strict Transport Security (通常简称为HSTS)
双眸
01-28 7161
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。 Freebuf百科:什么是Strict-Transport-Security? 一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://foo.com...
Spring Security漏洞防护—HTTP 安全响应头
最新发布
深圳市多克创新科技有限公司
10-24 1974
Spring Security漏洞防护—HTTP 安全响应头
HTTP Strict Transport Security (HSTS) in ASP.NET Core
dotNET跨平台
01-10 890
本文是《2020年了,再不会HTTPS就老了》的后篇,本文着重聊一聊HTTP Strict Transport Security协议的概念和应用。启用 HTTPS 还不够安全 ...
HSTS是什么?怎么取消HSTS?怎么查询HSTS
m0_46665077的博客
06-17 1万+
HSTS是什么?怎么取消HSTS?怎么查询HSTS
记录一个等保二的项目的漏洞处理
05-12 1万+
一、高危漏洞: 1、HTTP.sys remote code execution vulnerability(HTTP.sys 远程代码执行漏洞) 漏洞描述: HTTP 协议栈 (HTTP.sys) 中存在一个远程执行代码漏洞,该漏洞是由于 HTTP.sys 不正确地分析特制 HTTP 请求而导致的。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Wind
chrome://net-internals/#hsts
06-28
chrome://...HSTS是一种安全协议,可以强制浏览器使用HTTPS连接来访问网站,从而提高网站的安全性。在这个页面上,用户可以查看和管理浏览器中已经设置的HSTS规则,包括添加、删除和清除规则等操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值