Https优化方案(请求响应篇--HSTS)

最新推荐文章于 2022-10-22 17:33:25 发布
最新推荐文章于 2022-10-22 17:33:25 发布
阅读量954 收藏
点赞数
分类专栏: HTTPS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/supertor/article/details/84857889
版权

HSTS(HTTP Strict Transport Security, HTTP严格传输安全协议)表明网站已经实现了TLS,要求浏览器对用户明文访问的Url重写成HTTPS,避免了始终强制302重定向的延时开销。

HSTS的实现原理是:当浏览器第一次HTTP请求服务器时,返回的响应头中增加Strict-Transport-Security,告诉浏览器在指定的时间内,这个网站必须通过HTTPS协议来访问。也就是对于这个网站的HTTP地址,浏览器需要现在本地替换为HTTPS之后再发送请求。
其配置如下所示。max-age表明HSTS在浏览器中的缓存时间,includeSubdomainscam参数指定应该在所有子域上启用HSTS,preload参数表示预加载
并且HSTS能有效的防止TCP流量劫持

headers->set('Strict-Transport-Security','max-age=172800;includeSubdomains; preload');
在使用HSTS的过程中仍有一些值得注意的问题:
  1. HSTS将全部的证书错误视为致命的。因此,一旦主域使用HSTS,浏览器将放弃对域名所有无效证书站点的连接。
  2. 首次访问仍然使用HTTP,然后才能激活HSTS。无法保障首次访问的安全性如何解决?可以通过preloading预加载的方式,与浏览器厂商约定好一份支持HSTS的网站清单来缓解。目前Google已经提供了在线注册服务
  3. 如何撤销HSTS?通过Strict-Transport-Security: max-age=0将缓存设置为0可以撤销HSTS。但是只有当浏览器再次访问网站并且得到响应更新配置时才能生效。
supertor
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HSTS漏洞(缺少Strict-Transport-Security头)
墨痕诉清风的博客
05-17 942
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标头。理想回复响应头因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。
基于协议和配置的HTTPS优化方案1
08-08
HTTPS优化方案HTTPS协议是互联网上的安全通信标准,它通过加密传输确保用户的数据隐私和安全。然而,相比HTTP,HTTPS确实会引入额外的开销,包括网络延迟、CPU资源消耗以及潜在的安全风险。以下是一些针对这些...
HTTPS-HSTS协议(强制客户端使用HTTPS与服务器创建连接)
weixin_33701251的博客
10-24 772
HSTS(HTTP Strict Transport Security)国际互联网工程组织IETE正在推行一种新的Web安全协议 HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。其实HSTS的最大作用是防止302 HTTP劫持(中间人)。HSTS的缺点是浏览器支持率不高,另外配置HSTSHTTPS很难实时降级成HTTP。 采用HSTS协议的网站将保证浏览器始终连接到该网站的...
nginx 响应头中添加HSTS
一路奔跑94的博客
05-12 1920
从 HTTP 到 HTTPS 再到 HSTS 近些年,随着域名劫持、信息泄漏等网络安全事件的频繁发生,网站安全也变得越来越重要,也促成了网络传输协议从 HTTP 到 HTTPS 再到 HSTS 的转变。 HTTP HTTP(超文本传输协议) 是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP 是互联网数据通信的基础。它是由万维网协会(W3C)和互联网工程任务组(IETF)进行协调制定了 HTTP 的标准,最终发布了一系列的 RFC,并且在1999年6月公布的 RFC 2616,定义了 HT
随记(四):简述HSTS协议
XXR_Beta的博客
11-30 596
简述HSTS协议HSTS协议概要HSTS作用HSTS配置方法 HSTS协议概要 HSTS意为严格传输安全协议(英语:HTTP Strict Transport Security),其最为核心的是一个HTTP响应头(HTTP Response Header),正如图所示: HSTS Header的语法如下: Strict-Transport-Security: max-age=XXX; includeSubDomains; preload max-age是必填参数,是一个以秒为单位的数值,它代表着HST
浏览器自动转到外国服务器,通过HSTS实现浏览器自动跳转https(非服务器响应跳转)...
weixin_28795271的博客
07-31 933
全称 HTTP Strict Transport SecurityHSTS目的是让浏览器在访问网站的时候浏览器内部自动实现https协议访问(不需要服务器告诉浏览器跳转https)。在没有hsts功能时,需要自己在nginx里配置http跳转https。但是这样每个请求(可能)都需要nginx告诉浏览器你访问的地址需要跳转到https,这样就浪费了时间。hsts需要在第一次访问https时,服务器...
HTTP 安全响应头(Security Response header)配置手册
sysin | SYStem INside
12-09 1万+
HTTP 安全响应头(Security Response header)配置手册
rallyCoding-solutions:基于JavaScript的https解决问题的解决方案
04-02
总的来说,“rallyCoding-solutions”项目可能包含了一系列JavaScript实现的HTTPS问题解决方案,涵盖了从基础的HTTPS原理到复杂的跨域安全策略,以及性能优化和安全最佳实践,为开发者提供了一个实用的参考资源。
Python-SecurityHeaderCheck一个用来检查安全头的小工具
08-10
Strict-Transport-Security(HSTS)头则强制浏览器始终使用HTTPS连接,保护数据传输的隐私性。 Python-SecurityHeaderCheck的工作原理是发送HTTP请求到目标网站,然后解析返回的响应头,对比预定义的安全头标准。...
smart-ua-tz:https
03-09
6. **性能优化**:考虑到时区信息可能影响服务器负载,项目可能采用了高效的缓存策略,减少对服务器的频繁请求,提升整体性能。 7. **API集成**:可能还包含与外部时区API的集成,如Google Maps API或其他地理定位...
donm_cc:https
04-04
4. **Web服务器**:如果donm_cc是一个Web服务项目,那么可能采用了Python的Web框架,如Flask、Django等,它们都支持HTTPS配置,能够处理HTTPS请求并返回响应。 5. **中间人攻击防御**:HTTPS的一个重要目标是防止...
Web服务安全
qq_19462809的博客
10-22 3688
Web服务从来就不是安全的,即使使用没有任何问题的代码,它仍然面临着很多威胁。这些威胁万网来自于Web服务本身,一方面来自于通信协议的不安全,另一方面来自于Web服务器的部署。长期以来,Web客户端与web服务端一致使用HTTP通信,而这种协议存在很多问题,从而导致中间人欺骗等多种攻击方式的产生。目前HTTP正逐渐被HTTPS所取代。但针对HTTPS的攻击也从未停止过。
渗透测试-HTTP Strict Transport Security
csdnhnma的博客
04-28 2416
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。 0×01. Freebuf百科:什么是Strict-Transport-Security 我摘自owasp上的一段定义: HTTPStrictTransportSecurity(HSTS)isanopt-insecurityenhancementthatisspecifiedbyawebapplicat...
因为此网站使用了 hsts_HSTS原理及实践
weixin_39699912的博客
12-03 1264
Https连接Https通过加密传输和身份认证保证了http协议传输过程的安全性,然而这并不意味着你开启了https网站就绝对安全了。大部分用户都很少直接在地址栏输入https://,而是直接输入网址。此时浏览器默认发起http请求,再由服务端进行30x重定向(通常是301永久重定向)到https。如下图:SSL剥离攻击用户第一次发起的是http请求,存在被中间人劫持的风险。黑客可以用下...
前端静态资源缓存最优解以及max-age的陷阱
热门推荐
讨厌走开啦
04-15 2万+
原文地址:点这里 合理的使用缓存可以极大地提高网站资源的利用率,还可以节约带宽从而降低服务器成本。但是很多站点针对缓存的策略并不合理,甚至是完全无作为,如果是这样,就完全没有发挥出缓存的优势,而不合理的策略反而很大程度上会导致网站在访问时会发生由于静态资源的竞争关系而导致依赖的静态资源不同步的问题(简单地说,就是页面发生了崩坏)。 以下为两个最佳静态资源缓存实践的例子: 资源内容长时间内...
Http Cookies 中 Max-age 和 Expires 有什么区别?
qq_25123887的博客
06-07 1098
快速回答 Expires 为 Cookie 的删除设置一个过期的日期 Max-age 设置一个 Cookie 将要过期的秒数 IE 浏览器(ie6、ie7 和 ie8) 不支持 max-age, 所有的浏览器都支持 expires 深入一些来说明 expires 参数是当年网景公司推出 Cookies 原有的一部分。在 HTTP1.1 中,expires 被弃用并且被更加易用的 max-age 所替代。你只需说明这个 Cookie 能够存活多久就可以了,而不用像之前那样指定一个日期。设置二者中的一个,C
http协议-缓存控制:max-age
MZYang272的专栏
09-29 3294
转:http://hyj1254.iteye.com/blog/1159931   打算将cache-control的各个值都试一遍,看看最终效果是否和预期一致。    先尝试max-age。其作用是:假如请求了服务器并在a时刻返回响应结果,则在max-age规定的秒数内,浏览器将不会发送对应的请求到服务器,数据由缓存直接返回;超过这一时间段才进一步由服务器决定是返回新数据还是仍由缓存提供
https网站无法正常访问,显示hsts相关协议
Nathan's Blog
06-13 3077
前言 今天更新博客文章,一如往常的更新好推送部署访问https://www.little-demon.cn 的时候出现了相关hsts错误导致了无法正常网站,而且清理浏览器缓存后也无法正常访问。经过百度的搜索查找后,找到了解决方案,这里感谢大佬们的教程以及帮助支持,本文引用csdn-二黒黑黑技术文章。 步骤 1、这里我用的Micsoft Edge浏览器,在地址栏输入:edge://net-internals/#hsts 百度上的教程都是针对Chrome浏览器,同样也是在地址栏输入:chrome://ne
为什么我们要使用HTTP Strict Transport Security?
weixin_33982670的博客
01-18 1138
为什么我们要使用HTTP Strict Transport Security?                                wenjian_tk0                                                                                                              2015-05-...
chrome://net-internals/#hsts
最新发布
06-28
chrome://...HSTS是一种安全协议,可以强制浏览器使用HTTPS连接来访问网站,从而提高网站的安全性。在这个页面上,用户可以查看和管理浏览器中已经设置的HSTS规则,包括添加、删除和清除规则等操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值