讓你的HTTPS更安全-讓你的HTTPS更安全開啟HSTS讓瀏覽器強制跳轉(zhuǎn)HTTPS訪問

[重要通告]如您遇疑難雜癥,本站支持知識付費業(yè)務(wù),掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!

現(xiàn)如今很多的站都開啟了https,這是標(biāo)準(zhǔn)化建站模式,在網(wǎng)站全站HTTPS后,如果用戶手動敲入網(wǎng)站的HTTP地址,或者從其它地方點擊了網(wǎng)站的HTTP鏈接,通常依賴于服務(wù)端301/302跳轉(zhuǎn)才能使用HTTPS服務(wù)

而第一次的HTTP請求就有可能被劫持,導(dǎo)致請求無法到達服務(wù)器,從而構(gòu)成HTTPS降級劫持。這個問題目前可以通過HSTS(HTTP Strict Transport Security,RFC6797)來解決。先說說說HSTS;

HSTS簡介

HSTS(HTTP Strict Transport Security)是國際互聯(lián)網(wǎng)工程組織IETF發(fā)布的一種互聯(lián)網(wǎng)安全策略機制。采用HSTS策略的網(wǎng)站將保證瀏覽器始終連接到該網(wǎng)站的HTTPS加密版本,不需要用戶手動在URL地址欄中輸入加密地址,以減少會話劫持風(fēng)險。

hsts預(yù)加載列表,可以理解為:用戶在訪問網(wǎng)站時,會判斷你是http網(wǎng)站還是https網(wǎng)站。通過這個預(yù)加載列表,可以實現(xiàn)在用戶訪問之前就能知道是https。這里我用的apache,給出apache關(guān)于hsts配置內(nèi)容如下:

開啟HSTS讓瀏覽器強制跳轉(zhuǎn)HTTPS訪問教程

部署的話,首先啟用HSTS的header模塊LoadModule?headers_module?/usr/lib/apache2/modules/mod_headers.so

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

上述代碼放于網(wǎng)站配置文件中,一般是httpd.conf文件等網(wǎng)站配置文件。寶塔界面,可以直接點擊網(wǎng)站,設(shè)置,切換到配置文件選項,添加內(nèi)容即可。

PS:注意,是配置文件不是偽靜態(tài)文件,注意添加文件位置,再你網(wǎng)站目錄的下方一點;

HSTS響應(yīng)頭格式

max-age,單位是秒,用來告訴瀏覽器在指定時間內(nèi),這個網(wǎng)站必須通過HTTPS協(xié)議來訪問。也就是對于這個網(wǎng)站的HTTP地址,瀏覽器需要先在本地替換為HTTPS之后再發(fā)送請求。
includeSubDomains,可選參數(shù),如果指定這個參數(shù),表明這個網(wǎng)站所有子域名也必須通過HTTPS協(xié)議來訪問。
preload,可選參數(shù),一個瀏覽器內(nèi)置的使用HTTPS的域名列表。

然后再到 https://hstspreload.org/ 網(wǎng)站,提交一下你的網(wǎng)站。之后,各大主流瀏覽器就會內(nèi)置你的域名到他們的hsts列表中,直接內(nèi)置到瀏覽器中。

PS:自己站帶www就提交帶WWW的,不帶的就提交不帶的,別搞亂了嘍;

問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說,是心之所感,思之所悟,行之所得;文當(dāng)無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!

支付寶贊助
微信贊助

免責(zé)聲明,若由于商用引起版權(quán)糾紛,一切責(zé)任均由使用者承擔(dān)。

您必須遵守我們的協(xié)議,如您下載該資源,行為將被視為對《免責(zé)聲明》全部內(nèi)容的認可->聯(lián)系老梁投訴資源
LaoLiang.Net部分資源來自互聯(lián)網(wǎng)收集,僅供用于學(xué)習(xí)和交流,請勿用于商業(yè)用途。如有侵權(quán)、不妥之處,請聯(lián)系站長并出示版權(quán)證明以便刪除。 敬請諒解! 侵權(quán)刪帖/違法舉報/投稿等事物聯(lián)系郵箱:service@laoliang.net
意在交流學(xué)習(xí),歡迎贊賞評論,如有謬誤,請聯(lián)系指正;轉(zhuǎn)載請注明出處: » 讓你的HTTPS更安全-讓你的HTTPS更安全開啟HSTS讓瀏覽器強制跳轉(zhuǎn)HTTPS訪問

發(fā)表回復(fù)

本站承接,網(wǎng)站推廣(SEM,SEO);軟件安裝與調(diào)試;服務(wù)器或網(wǎng)絡(luò)推薦及配置;APP開發(fā)與維護;網(wǎng)站開發(fā)修改及維護; 各財務(wù)軟件安裝調(diào)試及注冊服務(wù)(金蝶,用友,管家婆,速達,星宇等);同時也有客戶管理系統(tǒng),人力資源,超市POS,醫(yī)藥管理等;

立即查看 了解詳情