📜  HTTP 标头 |严格的运输安全

📅  最后修改于: 2022-05-13 01:56:39.761000             🧑  作者: Mango

HTTP 标头 |严格的运输安全

HTTP 严格传输安全 (HSTS)是一种 Web 安全策略机制,有助于保护网站免受恶意活动的侵害,并通知用户代理和 Web 浏览器如何通过响应标头处理其连接。每当网站通过 HTTP 连接然后重定向到 HTTPS 时,就会产生中间人攻击的机会,并且重定向可能会将用户引导至恶意网站,因为用户首先必须与未加密版本的网站。服务器通过在 HTTPS 连接上提供标头来实现 HSTS 策略,该标头通知浏览器使用 HTTPS 而不是 HTTP 加载站点。

句法:

Strict-Transport-Security: max-age=
Strict-Transport-Security: max-age=; includeSubDomains
Strict-Transport-Security: max-age=; preload

指令:

  • 这提到了用户代理或浏览器应该只使用 HTTP 以安全方式访问服务器的时间(以秒为单位)。
  • includeSubDomains:这指示浏览器也将规则应用于站点的所有页面和子域。
  • preload:这是包含在大多数主要 Web 浏览器的 HSTS 预加载列表中所必需的。

说明:如果用户在地址栏输入http://www.geeksforgeeks.com/geeksforgeeks.com ,这将为中间人攻击创造机会。可以利用重定向将访问者引导至恶意站点,而不是原始站点的安全版本。

例子:

Strict-Transport-Security: max-age=3600; includeSubDomains

所有页面和子域都将是 HTTPS 最长 1 小时。这会阻止访问无法通过 HTTPS 提供的页面或子域。

Strict-Transport-Security: max-age=7200; includeSubDomains; preload

所有当前和未来的子域都将是 HTTPS,最长 2 小时。它还具有 preload 作为大多数主要 Web 浏览器的 HSTS 预加载列表中必需的后缀。

要检查此 Strict-Transport-Security 的运行情况,请转到Inspect Element -> Network检查 Strict-Transport-Security 的响应标头,如下所示,您可以看到 Strict-Transport-Security 突出显示。

支持的浏览器:以下浏览器与HTTP Strict-Transport-Security 兼容。

  • 谷歌浏览器 4.0
  • 互联网浏览器 11.0
  • 火狐4.0
  • Safari 7.0
  • 歌剧 12.0