聊一聊什么是HSTS

最新推荐文章于 2024-03-29 11:57:08 发布
最新推荐文章于 2024-03-29 11:57:08 发布
阅读量670 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014036251/article/details/121155440
版权

当用fiddler抓包工具抓取某些HTTPS网站,浏览器页面显示无法访问,提示该网站使用了HSTS。那究竟什么是HSTS呢?它的作用是什么呢?

HSTS是HTTP严格传输安全协议(英语:HTTP Strict Transport Security,简称:HSTS)。

目前HTTPS网站存在下面弱点:
1、当用户在浏览器中输入www.baidu.com,浏览器默认会将访问http://www.baidu.com,而不是https://www.baidu.com。将由服务器将http请求重定向到https,但这将消耗服务器的性能资源。

2、当HTTPS网站中使用的是自签名证书(或者不在浏览器的证书信任列表中),浏览器会发出网站存在安全风险警告,但不会中止HTTPS网站访问,并询问用户是否信任该证书,继续访HTTPS网站。

安全风险由用户决定。我们fiddler抓取HTTPS网站时,网站的证书已经被fifdler截获,而此浏览器中显示的证书,为fiddler创建的证书,所以也会报警告(也叫中间人攻击)。

通过设置HSTS可以消除上面的威胁。那HSTS是如何做到的呢?需要服务器和客户端(浏览器)如何配合呢?

我们来看一下百度的请求/响应报文:
在这里插入图片描述
在响应头部发现了下面这一行数据:
Strict-Transport-Security: max-age=172800

参数意思:在172800秒内,浏览器只要再向百度或其子域名发送HTTP请求时,由浏览器自动转成HTTPS来发起连接。这样可以减少服务器重定向的处理和被中间人截获请求的风险。

应用原理:实施HSTS配置的网站一般是和服务器的301重定向进行配合使用,当用户第一次输入HTTP网站的时候,此时浏览器并没有转换成HTTPS网站访问;

因为浏览器不知道该网站是HTTP还是HTTPS(即浏览器没有该网站的STS头部),所以浏览器发出的是HTTP请求。

服务器收到HTTP请求后,重定向到HTTPS网站,再输出HSTS头部,接下来的HTTP请求,浏览器就会转换成HTTPS请求进行访问。

爱如 少年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HSTS-SuperCookies
07-24
HSTS-SuperCookies 第1步 总共创建 32 个属于pynerd.xyz子域,从 0 到 31,因为 SuperCookie 是 32 位的。 第2步 更新 Nginx 服务器配置,如nginx.conf 。 server { server_name "~^(?<name>\w+)\.hsts\.your-...
hstsparser:一种将Firefox和Chrome HSTS数据库解析为取证工件的工具!
02-05
HSTS解析器 HSTS Parser是一个简单的工具,可将Firefox和Chrome的HSTS数据库解析为实际有用的取证工具! 您可以在 上阅读有关此工具背后的研究及其潜在用途的更多信息!安装HSTS Parser可以通过pip或进行安装。从...
浅析HSTS
weixin_34235371的博客
10-10 250
浅析HSTS 一、HSTS是什么? HSTS全称:HTTP Strict Transport Security,意译:HTTP严格传输安全,是一个Web安全策略机制。 二、HSTS解决什么问题? 它解决的是:网站从Http转跳到Https时,可能出现的安全问题。 一般从Http跳转Https的流程: Client从Http切换到Https前是明文传输,因...
HSTS
weixin_33840661的博客
05-26 99
一、简介   二、部署   三、其他 1)利用 HSTS 安全协议柔性解决全站HTTPS 的兼容性问题 http://www.toutiao.com/a6383719177903833346/
什么是HSTS协议?
最新发布
hejinDW的博客
03-29 603
互联网安全问题的严重性如同万亿资产的博弈,一处小小的疏忽或漏洞都可能带来灾难性的损失。在保护数据安全的长跑中,一位不起眼的英雄——HSTS协议——默默地担负起了守护我们网络交通安全的重任。你可能对它还不太熟悉,但它的作用绝对不容小觑。HSTS的全称是HTTP Strict Transport Security,“严格传输安全”,这个名字听起来就给人以强大的安全感。它是一种网络安全政策机制,可以让网站告诉浏览器:从此之后,我们之间的所有对话,都必须通过安全、加密的HTTPS连接进行。
HSTS是什么
VegetableKCCCC的博客
09-08 2221
HSTS(HTTP Strict Transport Security) HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议 HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。 国际互联网工程组织IETE正在推行一种新的Web安全协议HTTP Strict Transport Security(HSTS),采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入
HSTS(HTTP 严格传输安全)
allway2的博客
09-05 3024
最后,可以(并且强烈推荐)将您的 HSTS 标头预加载到主要 Web 浏览器的源代码中,方法是将您的域提交到 hstspreload.org。在这种情况下,攻击仍然是可能的,因为攻击者在实际的 Web 服务器有机会告诉用户的浏览器使用 HSTS 之前接管了连接。正如我之前提到的,预加载是一种机制,即使用户第一次访问该网站,您也可以使用该机制使用 HSTS 标头保护您的网站。幸运的是,对于不想要任何未加密连接的网站,有一种选择加入机制。幸运的是,有一个解决方案,我保证你会在本文结束时了解它的一切。
HSTS新的WEB案例协议,使用HTTPS的HSTS需要注意一个问题,HTTP页面合建的WIFI会有个麻烦问题.zip
01-07
HSTS新的WEB案例协议,使用HTTPS的HSTS需要注意一个问题,HTTP页面合建的WIFI会有个麻烦问题.zip
nginx开启HSTS让浏览器强制跳转HTTPS访问详解
09-29
主要介绍了nginx开启HSTS让浏览器强制跳转HTTPS访问详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
hstspreload:Go一个Go包,用于根据Chrome维护的HSTS预载列表的要求扫描站点
01-28
HSTS预载列表–实用代码 HSTS是,它是网站表示仅通过HTTPS进行联系的愿望的策略系统。 请参阅以获取提交站点代码。 用法 要检查域是否满足预加载的要求(假设$PATH包含$GOPATH/bin/ ): go get github....
HSTS 详解,让 HTTPS 更安全
weixin_33866037的博客
04-25 280
随着互联网的快速发展,人们在生活中越来越离不开互联网。无论是社交、购物还是搜索,互联网都能给人带来很多的便捷。与此同时,由于用户对网络安全的不了解和一些网站、协议的安全漏洞,让很多用户的个人信息数据“裸露”在互联网中。为此谷歌在 Chrome 68 版本后,其界面将会让使用者更容易了解 HTTP 网页是不安全的,并持续推动网站预设使用 HTTPS。但 HTTP 依旧可以访问使用,为此一些网站可以设...
HSTS详解
喵叫兽的博客
09-27 6653
1. 缘起:启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不过浏览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器和浏览器的协作,如下图所示。 图1:服务器和浏览器在背后帮用户做了很多工...
HSTS简介
bounsail的博客
04-10 1573
从 HTTP 到 HTTPS 再到 HSTS 由于用户习惯,通常准备访问某个网站时,在浏览器中只会输入一个域名,而不会在域名前面加上 http:// 或者 https://,而是由浏览器自动填充,当前所有浏览器默认填充的都是http://。一般情况网站管理员会采用了 301/302 跳转的方式由 HTTP 跳转到 HTTPS,但是这个过程总使用到 HTTP 因此容易发生劫持,受到第三方的攻击。 这个时候就需要用到 HSTS(HTTP 严格安全传输)。 网站采用 HSTS 后,用户访问时无需手动在地址栏中输
访问网站报错‘您目前无法访问XXXX 因为此网站使用了 HSTS
jimmyleeee的专栏
11-16 9944
使用Chrome测试某一个网站时,之前一直可以正常访问, 突然再次访问就显示:“您目前无法访问XXXX 因为此网站使用了 HSTS” 使用IE之前也是可以正常访问的, 但是,现在也变成如下所示: 1) Chrome 处理方法 在Chrome中输入:chrome://net-internals/#hsts, 可以通过Query HSTS/PKG domain查询是否启用了HSTS 然后再在下面的输入框中输入刚查询的域名,点击删除, 再次,访问,就可以访问了。 ...
此网站使用了hsts是什么情况
09-18
HTTP严格传输安全性(HTTP Strict Transport Security,HSTS)是一种网络安全机制,旨在提高网站的安全性。当一个网站使用了HSTS时,它会告知浏览器在未来一段时间内只通过HTTPS与该网站建立连接,而不是使用不安全的HTTP。下面是关于此网站使用了HSTS的几种情况: 1. 数据传输加密:HSTS可以确保网站与用户之间的数据传输是加密的,这样敏感信息如密码、个人资料等就不容易被黑客截获。 2. 防止中间人攻击:通过HSTS,网站可以防止中间人攻击,因为即使在用户首次访问网站时遭受劫持,浏览器会记住并强制使用HTTPS连接。 3. 强制使用HTTPS:HSTS可以强制浏览器始终使用HTTPS与该网站通信,即使用户手动输入"http://"或链接中的协议也会被自动转换为HTTPS。这有助于减少用户的错误操作,提高安全性。 4. 防止对URL劫持:如果有恶意软件或恶意的网络设备替换了网页上的链接,它们会将用户重定向到恶意网站。使用HSTS可以防止这种URL劫持攻击,确保用户始终连接到正确的网站。 综上所述,此网站使用了HSTS可以提高用户和网站之间数据传输的安全性,防止中间人攻击和URL劫持等恶意行为,并强制浏览器始终使用HTTPS,确保用于与网站通信的协议是安全的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值