使用https的HSTS需要注意的乙個問題

2022-01-14 16:02:01 字數 818 閱讀 9648

hsts(http strict transport security) 簡單來說就是由瀏覽器進行http向https的重定向。如果不使用hsts,當使用者在瀏覽器中輸入**時沒有加https,瀏覽器會預設使用http訪問,所以對於https站點,通常會在服務端進行http至https的重定向。如果用了hsts,就可以減少服務端的這次重定向。

當我們部署https時,發現hsts的這個用處後,立馬就使用了它,使用方法很簡單——在響應頭中加上 strict-transport-security:max-age=31536000

。但後來通過星巴克的wifi訪問我們的https站點時發現了乙個問題。在瀏覽器中輸入**後,沒有出現星巴克wifi的登入頁面,而是瀏覽器認為這是不安全連線,不允許訪問,只能先訪問乙個http站點,出現星巴克wifi登入頁面並完成登入後才能訪問我們的https站點。

背後的原因很簡單,由於我們的站點啟用了hsts,瀏覽器缺省會以https方式發出請求,星巴克的wifi攔截了請求,以http的方式返回了wifi登入頁面,瀏覽器收到後一看這不安全,立馬停止連線。如果不啟用hsts,在服務端進行重定向,就不會有這個問題。

只要基於http進行驗證的wifi都會有這個問題,所以在部署https時是否啟用hsts需要考慮這個因素。如果你原先啟用hsts,現在想取消,不能直接去掉strict-transport-security響應頭,而是要改為 strict-transport-security:max-age=0

,不然之前使用了hsts的瀏覽器在過期之前會一直使用hsts。

使用https的HSTS需要注意的乙個問題

hsts http strict transport security 簡單來說就是由瀏覽器進行http向https的重定向。如果不使用hsts,當使用者在瀏覽器中輸入 時沒有加https,瀏覽器會預設使用http訪問,所以對於https站點,通常會在服務端進行http至https的重定向。如果用了...

躲避 HSTS 的 HTTPS 劫持

hsts 的出現,對 https 劫持帶來莫大的挑戰。不過,hsts 也不是萬能的,它只能解決 sslstrip 這類劫持方式。但仔細想想,sslstrip 這種算劫持嗎?從本質上講,sslstrip 這類工具的技術含量是很低的。它既沒破解什麼演算法,也沒找到協議漏洞,只是修改和 了明文的封包而已。...

delphi中使用override需要注意的地方

在override時,如果override的是procedure,則加上關鍵字inherited 就會執行父類同名procedure的所有過程,然後再執行子類中特有的過程。如果override的是function則不會執行父類中同名function的內容。但是,可以通過下面的方法來執行父類的內容 例...