html增加hsts头,开启HSTS(HTTP Strict Transport Security)

最新推荐文章于 2023-10-24 11:45:40 发布
最新推荐文章于 2023-10-24 11:45:40 发布
阅读量1.4k 收藏
点赞数
文章标签: html增加hsts头

开启HSTS(HTTP Strict Transport Security)

HSTS(HTTP Strict Transport Security) 的作用就是,当你使用了一次之后,浏览器就会记住这个选项,之后都是直接访问HTTPS。

原理是通过设置一个头部:Strict-Transport-Security: max-age=15552000; includeSubDomains。格式是 Strict-Transport-Security: max-age=; includeSubDomains,

其中 includeSubDomains 是可选的, 是在多少秒之后过期的意思。

如果一个网站同时提供HTTP和HTTPS两种服务,那么只要访问过HTTPS服务,在所设置的HSTS过期之前,浏览器都会直接访问HTTPS,这样

可以在一定程度上保证数据传输的安全。但是缺点也很明显,如果用户第一次访问的时候是访问HTTP服务,那么就可以在这一步进行中间人

攻击,把重定向服务中的 https:// 替换成 http://,这样就仍然可以监听所传输的数据。

解决方案是关闭HTTP服务,把所有的HTTP服务都重定向到HTTPS,例如Nginx中这样配置:

server {

listen 80;

limit_req zone=perip burst=10 nodelay;

access_log /var/log/nginx/jiajunhuang.com.access.log;

error_log /var/log/nginx/jiajunhuang.com.error.log;

server_name jiajunhuang.com;

if ($scheme != "https") {

return 301 https://$host$request_uri;

}

}

而Nginx中可以通过增加头部来实现HSTS:

server {

listen 443 ssl;

server_name www.example.com;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

}

如何关闭HSTS?

如果你的网站不再提供HTTPS,而你想关闭HSTS,那么必须要:

停止增加 Strict-Transport-Security 这个头部

从停止增加头部开始,等待 那么久之后,也就是所有浏览器里的配置都已经失效了之后,关闭HTTPS

参考资料:

关注公众号,获得及时更新

更多文章

加载评论

安德烈卡卡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nginx-http-hsts:Nginx 模块添加适当的 Strict-Transport-Security
05-30
nginx HSTS 模块 ngx_http_hsts 模块为 nginx HTTP 严格传输安全提供支持。 依赖关系 nginx 1.xx 的来源及其依赖项。 建造 解压 nginx_ 源代码: $ tar zxvf nginx-1.x.x.tar.gz 解压缩摘要模块的源代码: $ ...
HTTP 安全响应Security Response header)配置
qq_42445433的博客
08-11 2406
HTTP 安全响应Security Response header)配置
html增加hsts,利用HSTS安全协议柔性解决全站HTTPS的兼容性问题
weixin_39881958的博客
06-30 275
导读:目前,很多站都开始实现HTTPS了,而且其的大部分强迫症站长还会开启强制HTTPS机制,对于网站的HTTP请求全部301跳转到HTTPS,从而实现全站HTTPS。这明显是一个粗暴的做法,下面张戈博客就分享一下目前正在使用的柔性做法,告别粗暴。一、HSTS协议这里我们要借助一个新的安全协议:HSTSHSTS(HTTP Strict Transport Security)国际互联网工程组织IE...
html增加hsts,nginx、Apache、Lighttpd启用HSTS
weixin_35804761的博客
06-30 410
302跳转通常情况下,我们将用户的 HTTP 请求 302 跳转到 HTTPS,这会存在两个问题:不够安全,302 跳转会暴露用户访问站点,也容易被劫持拖慢访问速度,302 跳转需要一个 RTT(The role of packet loss and round-trip time),浏览器执行跳转也需要时间HSTS302 跳转是由浏览器触发的,服务器无法完全控制,这个需求导致了 HSTS(HTT...
Spring Security漏洞防护—HTTP 安全响应
深圳市多克创新科技有限公司
10-24 1728
Spring Security漏洞防护—HTTP 安全响应
Https安全配置
03-02 428
随着Https的大量应用,几乎所有网站都使用了https的模式。大部分小伙伴可能只是知道https用于加密传输
HTTP 安全响应Security Response header)配置手册
sysin | SYStem INside
12-09 9245
HTTP 安全响应Security Response header)配置手册
渗透测试-HTTP Strict Transport Security
csdnhnma的博客
04-28 1933
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。 0×01. Freebuf百科:什么是Strict-Transport-Security 我摘自owasp上的一段定义: HTTPStrictTransportSecurity(HSTS)isanopt-insecurityenhancementthatisspecifiedbyawebapplicat...
解决: 您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
热门推荐
青春木鱼的博客
01-16 4万+
使用“thisisunsafe”解决: 您目前无法访问 因为此网站使用了 HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
https:将PSR-15间件重定向到https并添加Strict-Transport-Security
02-17
如果请求为http ,则间件将重定向到https ,并添加标以防止协议降级攻击和cookie劫持。 要求 PHP> = 7.2 安装 该软件包可通过Composer作为安装和自动加载。 composer require middlewares/https 例子 $ ...
Laravel开发-strict-transport-security
08-28
Laravel开发-strict-transport-security 设置hsts以启用HTTP严格传输安全性
nuxt-security:Nuxt.js的模块,用于配置安全标
04-28
@ dansmaculotte / nuxt-security Nuxt.js的模块,用于配置安全标等特征该模块允许您配置各种安全标,例如CSP,HSTS,甚至生成security.txt文件。 以下是可用功能的列表: 严格传输安全标内容安全策略标X-...
hsts-everywhere:强制Chrome在所有HTTPS连接上使用HTTP严格传输安全性
05-14
HSTS无处不在 强制浏览器在所有HTTPS连接上使用HTTP Strict-Transport-Security 默认最大年龄为6个月。 在几秒钟内在更改它 学分
HSTS详解
喵叫兽的博客
09-27 6632
1. 缘起:启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不过浏览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器和浏览器的协作,如下图所示。 图1:服务器和浏览器在背后帮用户做了很多工...
html标签crossOrigin、integrity属性详解、SRI、HSTS
AIWWY的博客
07-27 1871
在canvas使用drawImage()绘制图像时,若传入未声明属性的跨源元素,会使canvas变成污染状态(tainted),此时任何读取canvas数据的操作,如toBlob()等,均会抛出错误(可理解为在。
HTTP Strict Transport Security (通常简称为HSTS)
双眸
01-28 6627
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。 Freebuf百科:什么是Strict-Transport-Security? 一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://foo.com...
html增加hsts,IIS - 开启HSTS让浏览器默认以HTTPS访问(强制跳转HTTPS)
weixin_32304579的博客
06-30 755
(1)桌面浏览器Chrome:完美支持Firefox:完美支持Safari:Safari 7起开始支持(2013年)IE:IE11 起开始支持(包括后面的 Edge)Opera:完美支持(2)移动设备iOS:iOS 7.1起开始支持Android:Android 4.4起开始支持二、HSTS部署1,操作步骤(1)由于 HSTS策略只能在 HTTPS响应进行设置,所以首先我们还是要做个 http到...
htmlheader怎么设置,HTML的header标签怎么用?
weixin_32271479的博客
06-15 1775
为了更好地处理今天的互联网应用,HTML5添加了很多新标签及功能,其header标签是今天讨论的内容。我们将讨论HTML的header标签怎么用?HTMLheader标签的作用,header标签正确写法。header标签是HTML5新增的语义化标签,用于定义文档的页眉(介绍信息)。header标签通常至少包含(但不限于)一个标题标记(–),还可以包含文档流的其他内容,如logo或搜索表单...
node-v18.18.2-headers.tar.xz
最新发布
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
HTTP Strict Transport Security (HSTS) not implemented
04-04
As an AI language model, I don't have the ability to determine whether a website has implemented HTTP Strict Transport Security (HSTS) or not. However, here is some information about HSTS: HSTS is a ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值