怎么设置 HSTS 头字段

最新推荐文章于 2024-04-02 10:15:04 发布
最新推荐文章于 2024-04-02 10:15:04 发布
阅读量2.4k 收藏 1
点赞数
文章标签: https http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wecloud1314/article/details/122854400
版权

HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。

HSTS响应头格式

Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]

max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过HTTPS协议来访问。也就是对于这个网站的HTTP地址,浏览器需要先在本地替换为HTTPS之后再发送请求。

includeSubDomains,可选参数,如果指定这个参数,表明这个网站所有子域名也必须通过HTTPS协议来访问。

 

preload,可选参数,一个浏览器内置的使用HTTPS的域名列表。ssl证书申请

如何设置 HSTS 头字段

方法一:通过源程序实现/万能实现方式:

# 技术人员可以通过改写 php/aspx/java 程序,增加一个 HTTP 头应答字段:

Strict-Transport-Security: max-age=31536000; includeSubdomains; preload

方法二:面向 Nginx 源服务器:

# 在配置站点域名的地方添加一行

add_header Strict-Transport-Security “max-age=31536000; includeSubdomains; preload”;

方法三:面向 Apache2 源服务器:

# 确保加载/启动一个模块

LoadModule headers_module modules/mod_headers.so# 在配置站点域名的地方添加一行

Header always set Strict-Transport-Security “max-age=31536000; includeSubdomains; preload”

​越来越多站点将HTTP协议升级为HTTPS协议,而SSL证书是升级HTTPS最流行的解决方案。SSL证书是HTTPS加密协议必备条件,是网络安全传输的加密通道。 ​

wecloud1314
关注
host攻击.pdf
05-07
Host攻击是一种针对Web应用程序的安全漏洞,主要利用HTTP请求中的Host字段来进行恶意操作。通常情况下,Web服务器和应用程序通过解析HTTP请求中的Host来确定目标站点或者执行某些特定的操作。然而,如果这些...
服务器配置HSTS(IIS和Tomcat)
每天学习一点点
04-19 5146
如果缺少HSTS的配置,网站可能会被扫描出如下图所示的漏洞 服务器开启HSTS的方法 IIS操作方法: 确认是否安装 “URL 重写” 或者 “URL Rewrite” 模块 , 如果您已经安装可以跳过。 “URL重写” 模块下载地址 https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads 已经安装模块的话,在iis的界面可以看到如下图所示的图标: 点击“添加规则” .
HSTS详解
喵叫兽的博客
09-27 6735
1. 缘起:启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不过浏览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器和浏览器的协作,如下图所示。 图1:服务器和浏览器在背后帮用户做了很多工...
Miss HSTS header in checkmarx
songcode的专栏
09-03 1841
按照Owasp的推荐设置 header 后依然无法通过checkmarx SAST scan.无奈只能acknowledge. 后续更新细节。
Nginx与安全有关的几个配置
m0_37540783的博客
06-30 323
Nginx的几个常用配置和技巧隐藏版本号开启HTTPS添加黑白名单添加账号认证限制请求方法拒绝User-Agent图片防盗链控制并发连接数缓冲区溢出攻击Header设置 隐藏版本号 http { server_tokens off; } 经常会有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞 开启HTTPS ser...
如何使用Nginx配置HSTSHTTP严格传输安全)?
最新发布
长风破浪会有时的博客
04-02 2040
首先,我们要明白HSTS是什么。HSTS是一种安全策略,它告诉浏览器:“只能用HTTPS来访问我的网站,不要用HTTP哦!”这样,即使有人尝试用不安全的方式(HTTP)来访问网站,浏览器也会自动切换到安全的方式(HTTPS)。通过这个配置,我们可以确保用户总是通过安全的方式(HTTPS)来访问我们的网站,从而提高网站的安全性。现在,我们来看看如何使用Nginx来配置HSTS。这个配置做了什么呢?
nginx开启HSTS让浏览器强制跳转HTTPS访问详解
09-29
这行代码会在响应中添加`Strict-Transport-Security`字段,指示浏览器在未来31536000秒(一年)内,对于当前域名及其子域名,直接使用HTTPS连接,不再尝试HTTP。`preload`选项则使得该站点可以被预加载到浏览器...
hsts-everywhere:强制Chrome在所有HTTPS连接上使用HTTP严格传输安全
05-14
5. 示例代码:展示如何在服务器端设置HSTS响应的示例,通常是在HTTP响应中添加`Strict-Transport-Security`字段HSTS的主要优势在于: - 预防被降级攻击:即使网站的HTTPS证书失效,HSTS也能防止用户被诱骗到...
asp.net core下给网站做安全设置的方法详解
10-18
中间件中包含了一个`Invoke`方法,该方法将处理请求并根据`SecurityHeadersPolicy`来设置或删除响应部中的特定字段。 中间件的实现包括以下两个重要的组成部分: - **SecurityHeadersPolicy**:这个类用于定义要...
Helmet通过设置各种HTTP标头帮助您保护Nuxt应用程序
08-09
5. `Referrer-Policy`:控制HTTP请求中的Referer字段如何发送,减少敏感信息的泄露。 6. `Strict-Transport-Security (HSTS)`:强制浏览器使用HTTPS,并防止降级攻击,通过设定有效期使浏览器在未来一段时间内...
HTTP 安全响应(Security Response header)配置
qq_42445433的博客
08-11 3688
HTTP 安全响应(Security Response header)配置
Nginx配置Http响应安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
Nginx与安全有关的配置
icanflying的博客
12-03 5212
​​​​​​ 添加黑白名单 白名单配置 location /admin/ { allow 192.168.1.0/24; deny all; } 上边表示只允许192.168.1.0/24网段的主机访问,拒绝其他所有 也可以写成黑名单的方式禁止某些地址访问,允许其他所有,例如 location /ops-coffee/ { deny 192.168.1.0/24; allow all; } 更多的时候客户端请求会经过层层代理,我们
如何在Nginx中配置HTTP安全响应
热门推荐
等风也等你的博客
05-09 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
JAVA年度安全 第八周 HTTP严格传输安全协议
New World
06-03 4237
Whatis it and why should I care? HTTP严格传输安全HSTS)是一个新技术,强制浏览器使用SSL/TLS(HTTPS)协议来访问应用。当应用在HTTP的响应设置HSTS标识,如果浏览器支持HSTS标识,那么本次通讯完全是基于HTTPS的。下面是简单的流程: 1、 用户通过HTTP或者HTTPS协议访问WEB应用,大部分用户使用HTTP协议,因为通
如何在 Nginx 中启用 HSTS
网络技术联盟站
07-05 1233
HTTP Strict Transport Security(HSTS)是一种安全机制,可以帮助保护网站免受SSL/TLS剥离攻击和会话劫持等威胁。它强制客户端使用HTTPS与服务器建立安全连接,从而提高网站的安全性和数据保护级别。本文将为您提供在Nginx中启用HSTS的详细步骤和指导。
Web服务安全
qq_19462809的博客
10-22 3925
Web服务从来就不是安全的,即使使用没有任何问题的代码,它仍然面临着很多威胁。这些威胁万网来自于Web服务本身,一方面来自于通信协议的不安全,另一方面来自于Web服务器的部署。长期以来,Web客户端与web服务端一致使用HTTP通信,而这种协议存在很多问题,从而导致中间人欺骗等多种攻击方式的产生。目前HTTP正逐渐被HTTPS所取代。但针对HTTPS的攻击也从未停止过。
Spring-Security对HTTP相应安全支持
盲目的拾荒者的博客
04-05 1万+
Spring Security支持在响应中添加各种安全,默认相应安全: Cache-Control: no-cache, no-store, max-age=0, must-revalidate Pragma: no-cache Expires: 0 X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值