301跳转 https_网站不用http 301跳转 https而直接访问https的方法

最新推荐文章于 2024-05-10 12:00:00 发布
最新推荐文章于 2024-05-10 12:00:00 发布
阅读量935 收藏
点赞数
文章标签: 301跳转 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39968436/article/details/111792039
版权

通过Chrome的chrome://net-internals/#hsts工具,可以查询某个网站是否在Preload List之中,还可以手动把某个域名加到本机Preload List。

HSTS缺点

HSTS并不是 HTTP会话劫持的完美解决方案。用户首次访问某网站是不受 HSTS保护的。这是因为首次访问时,浏览器还未收到 HSTS,所以仍有可能通过明文 HTTP来访问。

如果用户通过 HTTP访问 HSTS保护的网站时,以下几种情况存在降级劫持可能:

以前从未访问过该网站

最近重新安装了其操作系统

最近重新安装了其浏览器

切换到新的浏览器

切换到一个新的设备,如:移动电话

删除浏览器的缓存

最近没访问过该站并且 max-age过期了

解决这个问题目前有两种方案:

方案一:

在浏览器预置 HSTS域名列表,就是上面提到的 HSTS Preload List方案。该域名列表被分发和硬编码到主流的 Web浏览器。客户端访问此列表中的域名将主动的使用 HTTPS,并拒绝使用 HTTP访问该站点。

方案二:

将 HSTS信息加入到域名系统记录中。但这需要保证 DNS的安全性,也就是需要部署域名系统安全扩展。

其它可能存在的问题

由于 HSTS会在一定时间后失效(有效期由max-age指定),所以浏览器是否强制 HSTS策略取决于当前系统时间。大部分操作系统经常通过网络时间协议更新系统时间,如Ubuntu每次连接网络时,OS X Lion每隔9分钟会自动连接时间服务器。攻击者可以通过伪造NTP信息,设置错误时间来绕过 HSTS。

解决方法是认证NTP信息,或者禁止NTP大幅度增减时间。比如:Windows 8每7天更新一次时间,并且要求每次NTP设置的时间与当前时间不得超过15小时。

支持HSTS浏览器

目前主流浏览器都已经支持 HSTS特性,具体可参考下面列表:

Google Chrome 4及以上版本

Firefox 4及以上版本

Opera 12及以上版本

HSTS部署

服务器开启 HSTS的方法是:当客户端通过 HTTPS发出请求时,在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段。非加密传输时设置的 HSTS字段无效。

最佳的部署方案是部署在离用户最近的位置,例如:架构有前端反向代理和后端 Web服务器,在前端代理处配置 HSTS是最好的,否则就需要在 Web服务器层配置 HSTS。如果 Web服务器不明确支持 HSTS,可以通过增加响应头的机制。如果其他方法都失败了,可以在应用程序层增加 HSTS。

HSTS启用比较简单,只需在相应头中加上如下信息:

Strict-Transport-Security: max-age=63072000; includeSubdomains;preload;

Strict-Transport-Security是Header字段名,

max-age代表HSTS在客户端的生效时间。

includeSubdomains表示对所有子域名生效。

preload 是使用浏览器内置的域名列表。

HSTS策略只能在 HTTPS响应中进行设置,网站必须使用默认的 443端口;必须使用域名,不能是IP。因此需要把 HTTP重定向到 HTTPS,如果明文响应中允许设置 HSTS头,中间人攻击者就可以通过在普通站点中注入 HSTS信息来执行 DoS攻击。

Apache上启用HSTS

$vim /etc/apache2/sites-available/hi-linux.conf

#开启HSTS需要启用headers模块

LoadModule headers_module /usr/lib/apache2/modules/mod_headers.so

ServerName www.hi-linux.com

ServerAlias hi-linux.com

...

#将所有访问者重定向到HTTPS,解决HSTS首次访问问题。

RedirectPermanent / https://www.hi-linux.com/

...

#启用HTTP严格传输安全

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

...

重启 Apache服务

$service apche2 restart

Nginx上启用HSTS

$ vim /etc/nginx/conf.d/hi-linux.conf

server {

listen 443 ssl;

server_name www.hi-linux.com;

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

...

}

server {

listen 80;

server_name www.hi-linux.com;

return 301 https://www.hi-linux.com$request_uri;

...

}

重启 Nginx服务

$service nginx restart

IIS启用HSTS

要在 IIS上启用 HSTS需要用到第三方模块

测试设置是否成功

设置完成了后,可以用curl命令验证下是否设置成功。如果出来的结果中含有Strict-Transport-Security的字段,那么说明设置成功了。

$ curl -I https://www.hi-linux.com

HTTP/1.1 200 OK

Server: nginx

Date: Sat, 27 May 2017 03:52:19 GMT

Content-Type: text/html; charset=utf-8

...

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

X-Frame-Options: deny

X-XSS-Protection: 1; mode=block

X-Content-Type-Options: nosniff

...

对于HSTS以及HSTS Preload List,建议是只要不能确保永远提供 HTTPS服务,就不要启用。因为一旦 HSTS生效,之前的老用户在max-age过期前都会重定向到 HTTPS,造成网站不能正确访问。唯一的办法是换新域名。

weixin_39968436
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
渗透测试web未设置http头 Strict Transport Security
墨痕诉清风的博客
10-26 9120
HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。HSTS响应头格式preload]max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过HTTPS协议来访问。也就是对于这个网站HTTP地址,浏览器需要先在本地替换为HTTPS之后再发送请求。...
HSTS漏洞(缺少Strict-Transport-Security头)
最新发布
墨痕诉清风的博客
05-17 1266
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标头。理想回复响应头因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。
未设置Strict-Transport-Security响应头【原理扫描】
tone1128的博客
07-12 1376
1.webconfig中添加响应头。
检测到目标Strict-Transport-Security响应头缺失
lxyoucan的博客
07-14 5295
其可选的值有: max-age=SECONDS,表示本次命令在未来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
【绿盟】检测到目标Strict-Transport-Security响应头缺失
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测到目标URL存在客户端(JavaScript)Cookie引用 检测到目标Strict-Transport-Security响应头缺失 检测到目标Referrer-Policy响应头缺失 检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 检测到目标X-Download-Options响应头缺失 点击劫持:X-Frame-Options未配置 ..
nginx强制使用https访问方法(http跳转https)
09-30
这段配置会让所有访问HTTP端口80的请求被重定向到相应的HTTPS地址,并设置为永久重定向(`permanent`),告诉浏览器记住这次跳转,下次直接访问HTTPS。 2. **利用497状态码** 当Nginx检测到只允许HTTPS访问的站点...
使用Nginx实现301跳转https的根域名示例代码
09-29
网站的日常运维中,我们需要根据不同情况对网站访问进行跳转处理,比如将HTTP请求永久重定向到HTTPS协议,确保网站传输数据的安全性。Nginx通过配置文件实现各种HTTP重定向需求。 301永久重定向和302临时重定向...
laravel 解决强制跳转 https的问题
10-16
在Laravel框架中,实现从HTTP强制跳转HTTPS是保证网站安全性的重要措施。对于Web应用来说,通过HTTPS传输数据可以有效地保护数据传输过程中的安全,防止数据被中间人攻击窃取或篡改。在Laravel框架中,开发者通常...
详解nginx 301跳转到带www域名方法
09-30
**Nginx 301跳转到带www域名的方法** 在互联网中,域名的规范性和一致性对于用户体验和搜索引擎优化(SEO)至关重要。通常,我们会选择一个主要的域名形式,如带www的(例如,www.domain.com)或者不带www的(例如...
Nginx配置http跳转https
热门推荐
邓邓子的博客
03-04 2万+
目录一、return 301二、rewrite三、497 状态码四、meta 刷新 Nginx 可通过多种方式实现 http 跳转 https,以下列出各种方式的实现方法。 一、return 301 这是 Nginx 新版本的写法,推荐使用。在 Nginx 80 监听服务上加一行: return 301 https://$server_name$request_uri; #http跳转https 完整配置如下: #管理端 server { listen 10003; serv
安全修复之Web——HTTP Strict-Transport-Security缺失
小小关的博客
06-29 1565
日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 系统:windows10 语言:Golang golang版本:1.18 内容 安全预警 HTTP Strict-Transport-Security缺失安全限定: HTTP Strict-Transport-Security 可以
Web低危漏洞之HTTP Strict-Transport-Security缺失的处理
weixin_42715225的博客
09-10 1万+
前言 … … 漏洞呈现 解决 Web服务器nginx(因这里采取的是nginx服务器)的server段添加如下内容 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 示例 ... ... server { add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; prel
HSTS(HTTP 严格传输安全)
allway2的博客
09-05 3341
最后,可以(并且强烈推荐)将您的 HSTS 标头预加载到主要 Web 浏览器的源代码中,方法是将您的域提交到 hstspreload.org。在这种情况下,攻击仍然是可能的,因为攻击者在实际的 Web 服务器有机会告诉用户的浏览器使用 HSTS 之前接管了连接。正如我之前提到的,预加载是一种机制,即使用户第一次访问网站,您也可以使用该机制使用 HSTS 标头保护您的网站。幸运的是,对于不想要任何未加密连接的网站,有一种选择加入机制。幸运的是,有一个解决方案,我保证你会在本文结束时了解它的一切。
【已解决】IIS环境检测到网站存在响应头缺失、禁用Options方法、解决跨域攻击等不安全
wangjunlei的专栏
04-16 1669
4、检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 重新配置IIS。5、检测到目标Strict-Transport-Security响应头缺失 重新配置IIS。3、检测到目标Content-Security-Policy响应头缺失 IIS设置。1、检测到目标X-Content-Type-Options响应头缺失。6、点击劫持:X-Frame-Options未配置 重新配置IIS。2、检测到目标X-XSS-Protection响应头缺失。
301跳转 https_网站启用SSL自动301跳转HTTPS教程
weixin_39899776的博客
12-21 1037
摘要:宝塔有很多功能已经集成了,不需要额外的配置文件,比如今天说的启用SSL后,让网站http自动跳转https上。如果你的主机不是宝塔,那么参照以下教程试试,也许会有惊喜(记得备份...宝塔有很多功能已经集成了,不需要额外的配置文件,比如今天说的启用SSL后,让网站http自动跳转https上。如果你的主机不是宝塔,那么参照以下教程试试,也许会有惊喜(记得备份,否则惊喜可能变成惊吓),先...
301跳转 https_部署https(ssl证书)后设置301跳转http跳转https方法
weixin_39645268的博客
12-21 730
注意,以下教程针对我司SSL虚拟主机部署SSL后的301跳转,把规则中红色域名替换成自己的linux操作系统 apache环境云服务器:【直接在apache上部署的SSL】在对应站点根目录下新建(通过ftp或登录wdcp管理面板中:站点列表-文管-进入public_html-创建文件)一个文件命名为.htaccess。RewriteEngineOnRewriteCond%{HTTP:From-...
301跳转 https_详解百度https认证提示"请将您的http站点301重定向到https站点"的解决办法...
weixin_39524574的博客
01-15 1219
最近想把一个网站改造成https访问,但是一些都做好了,去百度站长平台认证https,结果怎么提交都是出现“请将您的http站点301重定向到https站点”,在百度站长社区提问也没有人回答,最后只能自己摸索。后面找到了原因:原来百度的https认证是严格遵守301重定向的,我用的是iis6,之前的代码为:RewriteEngine OnRewriteCond %{SERVER_PORT} !^4...
php5.2不支持oppssl,php – 虽然存在规则而未发送HSTS标头且已启用mod_headers
weixin_29491167的博客
03-17 185
我们在虚拟主机处理端口443中的httpd.conf中启用了HSTS.我们尝试使用和不使用< IfModule mod_headers.c>:Header set Strict-Transport-Security "max-age=10886400; includeSubDomains"但是服务器不在响应中包含标头.以下是来自HTTPS的curl:> GET / HTTP/1....
关于nginx HTTP安全响应问题
ZL_1618的博客
05-10 2012
一、背景二、http基本安全配置2.1 host头攻击漏洞2.2 http method 请求方式攻击漏洞2.3 点劫持漏洞(X-Frame-Options)2.4 X-Download-Options响应头缺失2.5 Content-Security-Policy响应头缺失2.6 Strict-Transport-Security响应头缺失2.7 X-Permitted-Cross-Domain-Policies响应头缺失2.8 Referrer-Policy响应头缺失。
IIS7/IIS8配置:从HTTP自动重定向到HTTPS
"IIS7 和 IIS8 中实现 HTTP 自动跳转HTTPS(80 端口转向 443 端口)的方法" 在网络安全日益重要的今天,许多网站选择使用 HTTPS 协议来确保数据传输的安全性。HTTP(超文本传输协议)虽然简单快捷,但不加密,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值