使用https的HSTS需要注意的一个问题

最新推荐文章于 2022-12-22 09:40:40 发布
最新推荐文章于 2022-12-22 09:40:40 发布
阅读量269 收藏
点赞数

HSTS(HTTP Strict Transport Security) 简单来说就是由浏览器进行http向https的重定向。如果不使用HSTS,当用户在浏览器中输入网址时没有加https,浏览器会默认使用http访问,所以对于https站点,通常会在服务端进行http至https的重定向。如果用了HSTS,就可以减少服务端的这次重定向。

当我们部署https时,发现HSTS的这个用处后,立马就使用了它,使用方法很简单——在响应头中加上 strict-transport-security:max-age=31536000 。

但后来通过星巴克的WiFi访问我们的https站点时发现了一个问题。在浏览器中输入网址后,没有出现星巴克WiFi的登录页面,而是浏览器认为这是不安全连接,不允许访问,只能先访问一个http站点,出现星巴克WiFi登录页面并完成登录后才能访问我们的https站点。

背后的原因很简单,由于我们的站点启用了HSTS,浏览器默认会以https方式发出请求,星巴克的WiFi拦截了请求,以http的方式返回了WiFi登录页面,浏览器收到后一看这不安全,立马停止连接。如果不启用HSTS,在服务端进行重定向,就不会有这个问题。

只要基于http进行验证的WiFi都会有这个问题,所以在部署https时是否启用HSTS需要考虑这个因素。如果你原先启用HSTS,现在想取消,不能直接去掉strict-transport-security响应头,而是要改为 strict-transport-security:max-age=0 ,不然之前使用了HSTS的浏览器在过期之前会一直使用HSTS。

 

weixin_34239169
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
hsts安全策略怎么打开_使用HSTS标头进行跨网络的安全通信
服务器编程交流平台
07-08 2048
任何开发人员在网络上保护和加密通信始终应该是头等大事。 沿着这些思路,加密和确保机密性的性能开销相对较小。 我要说的是,在所有基于HTTP的流量上使用SSL应该是一个普遍的要求。 这就是HTTP严格传输安全性(HSTS)出现的地方。HSTS标头可以确保与Web服务器的所有通信都是安全的。 HSTS参数 HSTS标头用于强制服务器和浏览器通过HTTPS进行通信。 然后,HSTS列出的...
记录一个等保二的项目的漏洞处理
05-12 1万+
一、高危漏洞: 1、HTTP.sys remote code execution vulnerability(HTTP.sys 远程代码执行漏洞) 漏洞描述: HTTP 协议栈 (HTTP.sys) 中存在一个远程执行代码漏洞,该漏洞是由于 HTTP.sys 不正确地分析特制 HTTP 请求而导致的。 成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。 对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Wind
(2022年12月)解决: 您目前无法访问 因为此网站使用HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
qq1140037586的博客
12-22 2万+
HSTSHSTS 是 HTTP 严格传输安全(HTTP Strict Transport Security) 的缩写。这是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。如果一个网站声明了 HSTS 策略,浏览器必须拒绝所有的 HTTP 连接并阻止用户接受不安全的 SSL 证书。您目前无法访问 因为此网站使用HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常。正常理解到了这一步,删掉了访问域名的的域安全策略,重新刷新一下,网站就可以可以访问了。
HTTP,HTTPSHSTS详解
weixin_30878501的博客
09-23 455
参考资料: 《从HTTP到HTTPS再到HSTS》作者:又拍云 《计算机网络:自顶向下方法》(第四版)作者:(美)James F.Kurose, Keith W.Ross wikipedia:HTTP,HTTPSHSTS一个故事讲完https》微信公众号:码农翻身 作者:刘欣 《H...
【学习】https网站无法正常访问,显示相关hsts协议
二黑黑黑
05-22 4554
一、背景 今早公司一如往常访问https://xxxx.com的是否出现了相关hsts错误,导致无法正常网站,经过百度之后找到了解决方法,和大家分享一下 二、步骤 1.NET::ERR_CERT_COMMON_NAME_INVALID,详情页里可以看到是“因为此网站使用HSTS”,清缓存并不能解决问题。 2.在Chrome浏览器中输入:chrome://net-internals/#hsts ...
解决缺陷,让HSTS变得完美
weixin_34124577的博客
03-08 891
作者:王继波野狗科技运维总监,曾在360、TP-Link从事网络运维相关工作,在网站性能优化、网络协议研究上经验丰富。野狗官博:https://blog.wilddog.com/野狗官网:https://www.wilddog.com/公众订阅号:wilddogbaas HSTSHTTPS性能和安全优化中最重要的一环,能够给HTTPS...
HSTS新的WEB案例协议,使用HTTPSHSTS需要注意一个问题,HTTP页面合建的WIFI会有个麻烦问题.zip
01-07
HSTS新的WEB案例协议,使用HTTPSHSTS需要注意一个问题,HTTP页面合建的WIFI会有个麻烦问题.zip
nginx开启HSTS让浏览器强制跳转HTTPS访问详解
09-29
主要介绍了nginx开启HSTS让浏览器强制跳转HTTPS访问详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
burp https证书与关闭HSTS正确姿势
11-24
burp https证书与关闭HSTS正确姿势,决定干货,希望大家喜欢。
hstspreload:Go一个Go包,用于根据Chrome维护的HSTS预载列表的要求扫描站点
01-28
HSTS是,它是网站表示仅通过HTTPS进行联系的愿望的策略系统。 请参阅以获取提交站点代码。 用法 要检查域是否满足预加载的要求(假设$PATH包含$GOPATH/bin/ ): go get github.com/chromium/hstspreload/... ...
【burpSuite】浏览器设置代理后无法访问https
热门推荐
AlimSah的博客
03-13 3万+
开启burpSuite,浏览器设置代理之后,如果访问使用https的网站时,会被卡住,告诉你“您的访问不安全”之类的。简单地说,这是证书与证书信任的问题,解决方法是下载burpSuite官方(也就是portSwigger)的证书,并信任它。官方指导:https://support.portswigger.net/customer/portal/articles/1783075-installing
【流量劫持】躲避 HSTSHTTPS 劫持
weixin_33932129的博客
03-13 110
前言 HSTS 的出现,对 HTTPS 劫持带来莫大的挑战。 不过,HSTS 也不是万能的,它只能解决 SSLStrip 这类劫持方式。但仔细想想,SSLStrip 这种算劫持吗? 劫持 vs 钓鱼 从本质上讲,SSLStrip 这类工具的技术含量是很低的。它既没破解什么算法,也没找到协议漏洞,只是修改和代理了明文的封包而已。 如果说劫持,要保持源站点不变才算的话,那 SSLStrip 并没做到。...
HSTS详解
喵叫兽的博客
09-27 6636
1. 缘起:启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不过浏览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器和浏览器的协作,如下图所示。 图1:服务器和浏览器在背后帮用户做了很多工...
从 HTTP 到 HTTPS 再到 HSTS
weixin_30916125的博客
08-29 144
近些年,随着域名劫持、信息泄漏等网络安全事件的频繁发生,网站安全也变得越来越重要,也促成了网络传输协议从 HTTP 到 HTTPS 再到 HSTS 的转变。 HTTP HTTP(超文本传输协议) 是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP 是互联网数据通信的基础。它是由万维网协会(W3C)和互联网工程任务组(IETF)进行协调制定了 HTTP 的标准,最终发布了一...
服务器开启协议,服务器启用HSTS协议
weixin_39725650的博客
08-05 750
HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议,网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址。该协议将帮助网站采用全局加密,用户看到的就是该网站的安全版本...
配置HttpsHSTS
weixin_30788731的博客
02-01 533
1. 视频https://www.bilibili.com/video/av33344382/?p=2 using System; using Microsoft.AspNetCore.Builder; using Microsoft.AspNetCore.Hosting; using Microsoft.AspNetCore.Http; using Microsoft.Ext...
nginx启用HSTS以支持从http到https不通过服务端而自动跳转
liberalman的专栏
05-18 1万+
最近对我的个人网站启用了Https,所以想设置http默认自动转https访问的功能,但又不想总让服务端做转发操作,那样浪费资源。那么有什么好的办法呢?302跳转通常将 HTTP 请求 302 跳转到 HTTPS,但有问题:1.不安全,302 跳转会暴露用户访问站点,易被劫持。2.多增加一次访问,使得客户端响应速度慢。302 跳转需要一个 RTT(The role of packet loss an
开启HSTS让浏览器强制跳转HTTPS访问
weixin_34326558的博客
06-05 786
在网站全站HTTPS后,如果用户手动敲入网站的HTTP地址,或者从其它地方点击了网站的HTTP链接,通常依赖于服务端301/302跳转才能使用HTTPS服务。而第一次的HTTP请求就有可能被劫持,导致请求无法到达服务器,从而构成HTTPS降级劫持。这个问题目前可以通过HSTS(HTTP Strict Transport Security,RFC6797)来解决。 HSTS简介 HSTS(HTT...
因为此网站使用hsts_什么是HSTS?网站开启HSTS的作用?
weixin_39842475的博客
12-04 1567
一、什么是HSTSHSTS是国际互联网工程组织 IETF 正在推行一种新的 Web 安全协议,网站采用 HSTS 后,用户访问时无需手动在地址栏中输入https://www.seowhy.com/1_141_zh.html HTTPS,浏览器会自动采用 HTTPS 访问网站地址,从而保证用户始终访问到网站的加密链接,保护数据传输安全。图片源自网络HSTS操作原理:1、需要在服务器响应头中添加 H...
清除chrome浏览器HSTS缓存
最新发布
05-25
要清除 Chrome 浏览器的 HSTS 缓存,可以按照以下步骤操作: 1. 打开 Chrome 浏览器并输入 `chrome://net-internals/#hsts` 进入 HSTS 设置页面。 2. 在页面上方的搜索框中输入要清除的网站域名,然后点击“查询”按钮。 3. 如果查询到该网站的 HSTS 信息,点击“删除”按钮进行清除。 4. 重复以上步骤,清除所有需要清除的网站的 HSTS 缓存信息。 注意:清除 HSTS 缓存可能会导致某些网站加载速度变慢或无法访问,所以请谨慎操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值