• 接51单片机课程设计,价格美丽
  • 这两天买了块51开发板玩玩,比用仿真好玩多了
  • 以后我尽量放蓝奏云上面
  • 博客今天做了一次较大的改动。好长时间没有更新文章了,是因为开学了和做其他站的等等原因,总之现在都差不多忙完了,最近会更新些文章的。
  • 本站正式开启碎语单页,本人的一些碎语会发在这里!

网站开启HSTS让网站更加符合规范

文章目录[隐藏]

以是下来自百度百科对于 HSTS 的解释

概述

国际互联网工程组织 IETF 正在推行一种新的 Web 安全协议 HTTP Strict Transport Security(HSTS
采用HSTS协议的网站将保证浏览器始终连接到该网站的 HTTPS 加密版本,不需要用户手动在 URL 地址栏中输入加密地址。
该协议将帮助网站采用全局加密,用户看到的就是该网站的安全版本。
HSTS的作用是强制客户端(如浏览器)使用 HTTPS 与服务器创建连接。服务器开启HSTS的方法是,当客户端通过 HTTPS 发出请求时,在服务器返回的超文本传输协议响应头中包含 Strict-Transport-Security 字段。非加密传输时设置的HSTS字段无效。
比如,https://xxx 的响应头含有 Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点:
在接下来的一年(即 31536000 秒)中,浏览器只要向 xxx 或其子域名发送 HTTP 请求时,必须采用 HTTPS 来发起连接。比如,用户点击超链接或在地址栏输入 http://xxx/ ,浏览器应当自动将 http 转写成 https,然后直接向 https://xxx/ 发送请求。
在接下来的一年中,如果 xxx 服务器发送的 TLS 证书无效,用户不能忽略浏览器警告继续访问网站

作用

HSTS可以用来抵御 SSL 剥离攻击。SSL 剥离攻击是中间人攻击的一种,由 Moxie Marlinspike 于 2009 年发明。他在当年的黑帽大会上发表的题为“New Tricks For Defeating SSL In Practice”的演讲中将这种攻击方式公开。SSL 剥离的实施方法是阻止浏览器与服务器创建 HTTPS 连接。它的前提是用户很少直接在地址栏输入 https://,用户总是通过点击链接或 3xx 重定向,从 HTTP 页面进入 HTTPS 页面。所以攻击者可以在用户访问 HTTP 页面时替换所有 https://开头的链接为 http://,达到阻止 HTTPS 的目的。
HSTS 可以很大程度上解决 SSL 剥离攻击,因为只要浏览器曾经与服务器创建过一次安全连接,之后浏览器会强制使用 HTTPS,即使链接被换成了 HTTP。
另外,如果中间人使用自己的自签名证书来进行攻击,浏览器会给出警告,但是许多用户会忽略警告。HSTS 解决了这一问题,一旦服务器发送了 HSTS 字段,用户将不再允许忽略警告。

如何开启?

  • 开启方法非常简单:
  • 首先你的站点先开启 SSL(如何开启?
  • 打开宝塔面板进入网站设置网站开启 HSTS 让网站更加符合规范
  • 在所示地方添加如下代码:add_header Strict-Transport-Security "max-age=31536000";网站开启 HSTS 让网站更加符合规范

乐于分享 , 版权所有丨如未注明 , 均为原创丨本网站采用CC BY-NC-SA 3.0 CN协议进行授权
转载请注明原文链接:网站开启 HSTS 让网站更加符合规范
喜欢 (0)
六月飞雪
关于作者:
网站搭建请联系!
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址