内容简介:HSTS(HTTP Strict Transport Security) 的作用就是,当你使用了一次之后,浏览器就会记住这个选项,之后都是直接访问HTTPS。原理是通过设置一个头部:如果一个网站同时提供HTTP和HTTPS两种服务,那么只要访问过HTTPS服务,在所设置的HSTS过期之前,浏览器都会直接访问HTTPS,这样 可以在一定程度上保证数据传输的安全。但是缺点也很明显,如果用户第一次访问的时候是访问HTTP服务,那么就可以在这一步进行中间人 攻击,把重定向服务中的
HSTS(HTTP Strict Transport Security) 的作用就是,当你使用了一次之后,浏览器就会记住这个选项,之后都是直接访问HTTPS。
原理是通过设置一个头部: Strict-Transport-Security: max-age=15552000; includeSubDomains
。格式是 Strict-Transport-Security: max-age=<过期时间>; includeSubDomains
,
其中 includeSubDomains
是可选的, <过期时间>
是在多少秒之后过期的意思。
如果一个网站同时提供HTTP和HTTPS两种服务,那么只要访问过HTTPS服务,在所设置的HSTS过期之前,浏览器都会直接访问HTTPS,这样
可以在一定程度上保证数据传输的安全。但是缺点也很明显,如果用户第一次访问的时候是访问HTTP服务,那么就可以在这一步进行中间人
攻击,把重定向服务中的 https://
替换成 http://
,这样就仍然可以监听所传输的数据。
解决方案是关闭HTTP服务,把所有的HTTP服务都重定向到HTTPS,例如Nginx中这样配置:
server { listen 80; limit_req zone=perip burst=10 nodelay; access_log /var/log/nginx/jiajunhuang.com.access.log; error_log /var/log/nginx/jiajunhuang.com.error.log; server_name jiajunhuang.com; if ($scheme != "https") { return 301 https://$host$request_uri; } }
而Nginx中可以通过增加头部来实现HSTS:
server { listen 443 ssl; server_name www.example.com; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; }
如何关闭HSTS?
如果你的网站不再提供HTTPS,而你想关闭HSTS,那么必须要:
Strict-Transport-Security <过期时间>
参考资料:
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
平台革命:改变世界的商业模式
[美]杰奥夫雷G.帕克(Geoffrey G. Parker)、马歇尔W.范·埃尔斯泰恩(Marshall W. Van Alstyne)、桑基特·保罗·邱达利(Sangeet Paul Choudary) / 志鹏 / 机械工业出版社 / 2017-10 / 65.00
《平台革命》一书从网络效应、平台的体系结构、颠覆市场、平台上线、盈利模式、平台开放的标准、平台治理、平台的衡量指标、平台战略、平台监管的10个视角,清晰地为读者提供了平台模式最权威的指导。 硅谷著名投资人马克·安德森曾经说过:“软件正在吞食整个世界。”而《平台革命》进一步指出:“平台正在吞食整个世界”。以平台为导向的经济变革为社会和商业机构创造了巨大的价值,包括创造财富、增长、满足人类的需求......一起来看看 《平台革命:改变世界的商业模式》 这本书的介绍吧!
