CHA*_*ist 7 security https http-headers hsts
在MDN HTTP Strict Transport Security (HSTS)中,它有一个 HSTS 设置示例,如下所示
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
我可以在RFC 6979max-age中找到和的相应平均值,但它没有 的含义。includeSubDomainspreload
我已经在最新的 Chrome 和 Firefox 中进行了测试,似乎根本preload没有做任何事情。无论有没有预加载,在请求http请求时,如果使用Chrome,都可以找到307 Internal RedirectChrome浏览器所做的,而不需要向服务器发出请求,这正是HSTS所期望的。
那么目的是什么呢preload?
另外,即使我添加了HSTS header,当用户第一次使用HTTP访问网站时,它仍然有机会受到攻击。我们如何减轻这种风险?也就是说,我们如何告诉浏览器在向服务器发送任何请求之前将域添加到 HSTS 列表中?
聚苯乙烯
我找到了https://hstspreload.org/,如果我需要注册域名,需要我添加max-age和preload指令。这是必要的理由吗preload?这应该是我应该添加域以确保新用户免受 SSL 剥离攻击的页面?
预载是一项重大承诺。它将有效地被硬编码到 browser\xe2\x80\x99s 代码中。鉴于推出新版本至少需要几个月的时间,\xe2\x80\x99基本上是不可逆转的。
\n另外,由于它在域级别下\xe2\x80\x99,所以出现了错误。例如,预加载domain.com,但随后发现blog.domain.com或intranet.domain.com尚未升级到HTTPS。此时,您的选择是 1) 将所有非 HTTPS 站点升级到 HTTPS,并以零用户访问该站点,直到 2) 反转预加载并等待数月将其推广到所有浏览器并处理零用户,直到然后。
\nHTTPS 现在更加常见,因此风险降低了,但当 HSTS 预加载首次出现时,这些都是真正的风险。
\n因此,该preload属性是网站所有者已准备好做出承诺的信号。它还阻止其他人使用此标头提交不\xe2\x80\x99t 的网站(无论是恶意的还是出于善意但误导性的意图)。
您是正确的,因为它在浏览器中不会 \xe2\x80\x99t \xe2\x80\x9cdo\xe2\x80\x9d 任何内容。
\n还有人讨论检查预加载标头是否仍在发送,如果没有从预加载列表中删除该站点,但不确定 \xe2\x80\x99s 是否已完成。
\n| 归档时间: |
|
| 查看次数: |
3566 次 |
| 最近记录: |