在我研究如何让我的整个网站 https 时,有很多讨论。大多数答案是将http重定向到https(.htaccess文件),这不好,因为两次(两次请求)做同样的工作不好。此外,“中间人”首先使用 http,我希望我的网站直接使用 https。有没有另一种方法可以让你的整个网站 https ,以及如何做到这一点?例如,当用户输入 example.com 时,example.com 会自动转到 https,而无需先从 http 或其他任何重定向?
cee*_*yoz 22
http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security允许您的服务器指示域只能通过 HTTPS 访问。这仅适用于后续请求,因此会有初始 HTTP 加载,但即使有人明确键入 HTTP,未来的请求也会加载 HTTPS。
IE 尚不支持,但所有其他专业都支持。
正如其他人所说,您不能强迫用户选择正确的协议。但是当用户尝试使用 HTTP 时,你应该怎么做?重定向也是不够的,因为位于您和客户端之间的攻击者可以拦截重定向,因此客户端永远不会看到它。客户端将继续发送纯 HTTP,攻击者将从服务器上剥离SSL 层(SSL 剥离攻击)。
防止这种情况发生的唯一可靠方法是根本不提供 HTTP 服务。不要在端口 80 上应答,除非提供一个纯文本页面,引导用户使用 HTTPS 重试(但不提供攻击者可以操纵的链接)。这将强制用户在https://他们的浏览器中输入内容,因此他们将启动与 SSL 的连接并防止 MITM 攻击。
| 归档时间: |
|
| 查看次数: |
18091 次 |
| 最近记录: |