推荐信息更多 >
好推建站谈-关于HSTS安全协议的全面详细解析
HSTS 的作用是强制客户使用者端(如查看浏览器)使用 HTTPS 与we服务器创建连接。we服务器开启 HSTS 的方式方法是,当客户使用者端通过 HTTPS 发出请求时,在we服务器返回的超文本信息传输协议响应头中包含 Strict-Transport-Security 字段。非加密传输时配置设置的 HSTS 字段无效。
HTTPS 最典型的用户使用者浏览访问过程
通常我们浏览访问一个网站站点时,一般在查看浏览器中只输入网站站点地址,而不输入协议名。例如浏览访问的,如果直接输入网址 或 zhangzifan.com 时,这就给了中间人攻击的一个机会,重定向会可能会被破坏,从而定向到一个恶意网站站点而不是应该浏览访问的加密网站页面。HTTP 严格传输安全(HSTS)功能使 Web we服务器告知查看浏览器绝不使用 HTTP 浏览访问,在查看浏览器端自动将所有到该网站站点的 HTTP 浏览访问替换为 HTTPS 浏览访问。
即使你打开网站站点看到的是全站 HTTPS 状态 ,你是因为我们在we服务器上做过301/302 跳转到 这个地址的, HTTPS 网站站点的做法是对用户使用者的 HTTP 浏览访问做 302 跳转到 HTTPS,并重新建连。(浏览访问过程如下图)
那么问题也就来了,在这个跳转的过程中就有两个不足之处:
整个通信过程中的前两个 RT 是没有意义的; 使用了不安全的 HTTP 通信,万一你是在提交敏感数值数据呢。HSTS 的出现就是解决这些问题的。HSTS 的作用除了节省 HTTPS 通信 RT 和强制使用 HTTPS ,还包括包含:
阻止基于SSLStrip 的中间人攻击; 万一证书有错误,则显示错误,用户使用者不能回避警告。HSTS 的工作机制可描述如下:we服务器端配置支持 HSTS 后,会在给查看浏览器返回的 HTTP 首部中携带 HSTS 字段。查看浏览器获得到该信息后,会将所有 HTTP 浏览访问请求在内部做307跳转到 HTTPS,而无需任何互联网网络过程,从而提升提高了兼容性,这个机制对于不支持 HTTPS 的百度360Sogou来说也是非常友好的做法。
目前大部分查看浏览器对 HSTS 的支持已经相当完美,具体各查看浏览器和版本的支持情况可以在/#search=HSTS上查看。 但是 HSTS 是有缺陷的,第一次浏览访问网站的客户使用者端,HSTS 并不工作。 要解决这个问题,就要了解我们下面要讲解的 HSTS preload list。
HSTS preload list 是什么?
HSTS preload list 是 Chrome 查看浏览器中的 HSTS 预载入列表,在该列表中的网站站点,使用 Chrome 查看浏览器浏览访问时,会自动转换成 HTTPS。Firefox、Safari、Edge 查看浏览器也会采用这个列表。
加入 HSTS preload list 所需条件:
有效的证书; 将所有 HTTP 用户访问量流量重定向到 HTTPS; 确保所有子网站域名启用 HTTPS,特别是 www 子网站域名。同时输出的 HSTS 响应头部需要满足以下条件:
max-age 至少需要 18 周,10886400 秒 必须指定 includeSubdomains 参数 必须支持 preload 参数一个典型满足 HSTS preload list 的响应头部为:Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
从申请到审核通过,时间在几天到几周不等。值得一提的是,从审核通过到正式加入到 Chrome 的 stable release 版本中还需要一段时间,因为要经过 canary、dev、beta 以及 stable progression。
HSTS 的优势及必要性
简单说就是强制客户使用者端使用 HTTPS 浏览访问网站页面。有效避免了中间人对 80 端口的劫持。但是这里存在一个问题:如果用户使用者在劫持状态,并且没有浏览访问过源we服务器,那么源we服务器是没有办法给客户使用者端种下 Strict-Transport-Security 响应头的(都被中间人挡下来了)。
启用 HSTS 不仅仅可以有效防范中间人攻击,同时也为查看浏览器节省来一次 302/301 的跳转请求,收益还是很高的。我们的很多网站页面,难以避免地出现 .cn/jianzhan),转发请注明版权,不带版权禁止转发,谢谢
网站建设制作方案是什么 ? 报价多少钱 ?
获取建站报价
【龙海网站建设】龙海网站建设制作
【龙海网站制作网站建设】龙海网站制作网站建设设计制作公司企业_龙海在线网站建设网站制作龙海网站制作网站建设悉知科学技术网站建设推荐1.网站制作网站建设基础服务,不懂的网站制作网站建设知识各项协助支持2.站点
【漯河网站建设】漯河网站建设制作
【漯河网站制作网站建设】漯河网站制作网站建设设计制作公司企业_漯河无偿网站建设网站建设网站制作漯河网站制作网站建设悉知科学技术网站建设推荐1.网站制作网站建设基础服务,不懂的网站制作网站建设知识各项协助支
【明港网站建设】明港网站建设制作
【明港网站制作网站建设】明港网站制作网站建设设计制作公司企业_明港在线做网站建设明港网站制作网站建设悉知科学技术网站建设推荐1.网站制作网站建设基础服务,不懂的网站制作网站建设知识各项协助支持2.站点网站的
【南平网站建设】南平网站建设制作
【南平网站制作网站建设】南平网站制作网站建设设计制作第三方平台_南平在线做网站站点南平网站制作网站建设悉知科学技术网站建设推荐1.网站制作网站建设基础服务,不懂的网站制作网站建设知识各项协助支持2.站点网站
【南阳网站建设】南阳网站建设制作
