It‘s recommended to implement HTTP Strict Transport Security (HSTS) into your web application 漏洞修复

原创 于 2025-05-30 13:37:10 发布 · 1.2k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#http #web app #网络协议 #漏洞修复

修复方案:实施 HTTP Strict Transport Security (HSTS)

HSTS(HTTP Strict Transport Security) 是一种安全策略,强制浏览器仅通过 HTTPS 访问网站,防止 SSL 剥离攻击(如中间人攻击)。以下是完整修复方案:

1. 什么是 HSTS?

  • 作用
    • 强制所有流量使用 HTTPS(自动跳转 HTTP → HTTPS)。
    • 防止 SSL 证书被恶意绕过(如 http:// 劫持)。
    • 防止 Cookie 劫持(Secure + HttpOnly)。
  • 关键响应头
    Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
    • max-age=31536000(1年有效期)。
    • includeSubDomains(保护所有子域名)。
    • preload(提交到浏览器预加载列表,可选)。

2. 如何配置 HSTS?

(1)Nginx 配置

nginx.conf 或站点配置中添加:

server {
    listen 443 ssl;
    server_name your-domain.com;

    # HSTS 配置(至少启用 max-age)
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    # 其他 SSL 配置
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
}

重启 Nginx

nginx -t && systemctl restart nginx

(2)Apache 配置

ssl.conf 或虚拟主机配置中添加:

<VirtualHost *:443>
    ServerName your-domain.com

    # HSTS 配置
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

    # 其他 SSL 配置
    SSLEngine on
    SSLCertificateFile /path/to/cert.pem
    SSLCertificateKeyFile /path/to/key.pem
</VirtualHost>

重启 Apache

systemctl restart apache2

(3)Tomcat(web.xml 或 server.xml)

web.xml 中添加:

<filter>
    <filter-name>httpHeaderSecurity</filter-name>
    <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
    <init-param>
        <param-name>hstsEnabled</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
        <param-name>hstsMaxAgeSeconds</param-name>
        <param-value>31536000</param-value>
    </init-param>
    <init-param>
        <param-name>hstsIncludeSubDomains</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>

重启 Tomcat

systemctl restart tomcat

(4)Cloudflare / CDN 配置

如果使用 Cloudflare,在 SSL/TLS → Edge Certificates 中启用 HSTS

  1. 开启 Enable HSTS
  2. 设置 Max Age(至少 6 个月)。
  3. 勾选 Include SubdomainsPreload(可选)。

3. 验证 HSTS 是否生效

(1)使用 curl 检查响应头

curl -I https://your-domain.com

预期输出

HTTP/2 200
Strict-Transport-Security: max-age=31536000; includeSubDomains

(2)浏览器开发者工具(F12)

  1. 访问 https://your-domain.com
  2. Network → Headers 中检查 Strict-Transport-Security

(3)在线检测工具

4. 高级配置(可选)

(1)提交到 HSTS Preload List

  1. 确保域名满足条件:
    • HTTPS 全站可用。
    • HSTS 包含 includeSubDomainspreload
    • max-age ≥ 1 年(31536000)。
  2. 提交至 hstspreload.org

(2)回退方案(测试阶段)

如果担心配置错误导致网站不可用,可先设置较短的 max-age

add_header Strict-Transport-Security "max-age=3600";  # 1 小时测试期

5. 注意事项

⚠️ 重要警告

  • 一旦启用 HSTS,浏览器会强制 HTTPS,如果证书错误,用户无法跳过警告!
  • 确保全站 HTTPS 可用,否则会导致网站不可访问。
  • 谨慎使用 preload,提交后需等待浏览器更新(不可逆)。

📌 总结

  1. 配置 HSTS 响应头max-age=31536000; includeSubDomains)。
  2. 验证是否生效(curl / 浏览器检查)。
  3. 可选提交 Preload(永久强制 HTTPS)。

修复后,浏览器将自动拒绝 HTTP 连接,大幅提升安全性! 🔒

JavaAlpha
关注
Spring Security 6.x 系列(8)—— SecurityConfigurer 配置器及其分支实现源码分析(一)
gmHappy
12-01 1万+
`SecurityConfigurer` 的所有实现类都是用来配置构造器的。也就是说,泛型中 O 和 B 的关系是,B 用来构造 O。而配置器的作用是配置这个构造器的,从而影响最终构造的结果。
密码技术--证书及go语言生成自签证书
Innocence_0的博客
12-26 994
证书类似身份证,里面记录了某人的姓名、年龄、地址等个人信息,还包括这个人的公钥(身份证号码),并由认证机构(类似派出所)进行数字签名后发放,只要我们看到该证书就可以知道认证机构认定了该公钥(身份证号码)的确属于此人,解决了数字签名中无法确认是谁的公钥的问题,该证书也叫公钥证书,简称证书。go语言生成自签证书文件(ECDSA)go语言生成自签证书文件(RSA)
HSTSHTTP 严格传输安全)
allway2的博客
09-05 4201
最后,可以(并且强烈推荐)将您的 HSTS 标头预加载到主要 Web 浏览器的源代码中,方法是将您的域提交到 hstspreload.org。在这种情况下,攻击仍然是可能的,因为攻击者在实际的 Web 服务器有机会告诉用户的浏览器使用 HSTS 之前接管了连接。正如我之前提到的,预加载是一种机制,即使用户第一次访问该网站,您也可以使用该机制使用 HSTS 标头保护您的网站。幸运的是,对于不想要任何未加密连接的网站,有一种选择加入机制。幸运的是,有一个解决方案,我保证你会在本文结束时了解它的一切。
HTTP Strict Transport Security(HSTS)
thlzjfefe的博客
01-26 477
【代码】HTTP Strict Transport Security
HTTP 安全响应头(Security Response header)配置
qq_42445433的博客
08-11 5887
HTTP 安全响应头(Security Response header)配置
HSTS - HTTP Strict Transport Security
Larry的博客
09-30 3403
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security HTTP Strict Transport Security (HSTS) is a web security policy mechanism which helps to protect websites against protocol downgr
HTTP Strict Transport Security (通常简称为HSTS)
双眸
01-28 8264
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。 Freebuf百科:什么是Strict-Transport-Security? 一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://foo.com...
Strict-Transport-SecurityHSTS)& X-Frame-Options & X-XSS-Protection
weixin_42451330的博客
06-12 1150
本文对Strict-Transport-SecurityHSTS)& X-Frame-Options & X-XSS-Protection 进行了介绍,列举了常用指令及示例。
Secure Your Node.js Web Application(Pragmatic,2016)
04-26
They search for and exploit common security mistakes in your web application to steal user data. Learn how you can secure your Node.js applications, database and web server to avoid these security ...
Security for Web Developers Using JavaScript, HTML, and CSS 无水印pdf
11-14
Implement a maintenance cycle by determining when and how to update your application software Learn techniques for efficiently tracking security threats as well as training requirements that your ...
渗透测试-HTTP Strict Transport Security
csdnhnma的博客
04-28 4367
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。 0×01. Freebuf百科:什么是Strict-Transport-Security 我摘自owasp上的一段定义: HTTPStrictTransportSecurity(HSTS)isanopt-insecurityenhancementthatisspecifiedbyawebapplicat...
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一)
weixin_30556161的博客
02-11 385
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(二) HTTP strict transport security (HSTS) is defined inhttp://tools.ietf.org/html/ietf-websec-strict-transport-sec HTTP-based dynamic pu...
关于 HTTP 响应头字段 Strict-Transport-Security
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
07-28 2230
当你在Chrome开发者工具的Network面板中看到一个请求的Response Header字段"Strict-Transport-Security"的值为"max-age=31536000;preload"时,这表示网站已启用HSTS策略,浏览器将自动强制使用HTTPS连接与该网站进行通信,并且该策略可能适用于所有子域名,而且该网站可能已被添加到浏览器的HSTS预加载列表中。这些措施有助于提高网站的安全性,防止恶意攻击,并确保用户的连接是加密和安全的。
如何配置使用 HTTP 严格传输安全(HSTS
热门推荐
刘书的IT博客
10-25 1万+
HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过: Nginx 1.1.19、 Lighttpd 1.4.28 和 Apache 2.2.22 ,环境为 Ubuntu 12.04、 Debi
HTTP/Strict-Transport-Security在Linux Web服务器上的配置
weixin_73725158的博客
09-05 1112
HTTP Strict Transport SecurityHSTS)是一种安全功能,旨在增强Web通信的安全性,通过强制客户端(主要是浏览器)仅通过HTTPS与服务器建立连接,从而有效防止中间人攻击和数据泄露。通过以上步骤,你可以在Linux Web服务器上成功配置HSTS,从而增强你的网站安全性,保护用户数据免受中间人攻击和其他安全威胁。这行代码的作用是告诉浏览器在接下来的两年(63072000秒)内,仅通过HTTPS与你的网站通信,并且这个规则适用于所有子域名。或你的网站特定的配置文件。
如何在IIS7 +中启用HTTP严格传输安全性(HSTS
cunfuxiao7305的博客
10-11 2204
I got a report of a strange redirect loop on a website I (inherited, but help) manage. The reports were only from Chrome and Firefox users and just started suddenly last week, but the code on this sit...
HSTS漏洞(缺少Strict-Transport-Security头)
墨痕诉清风的博客
05-17 3792
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标头。理想回复响应头因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。
HSTS 网站http跳转到https
乌云大帝的博客
11-05 3359
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式. 作用 一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在
t's recommended to implement best practices of HTTP Redirection into your web application. Consult web references for more information
最新发布
07-20
Web应用中实施HTTP重定向的最佳实践,需要综合考虑安全性、性能以及用户体验等多个方面。以下是一些推荐的做法: ### 1. 使用301或302状态码 当执行HTTP重定向时,服务器应当返回一个适当的HTTP状态码(如301永久移动或302临时重定向),并设置`Location`头部指向新的URL。301用于永久性地将请求重定向到新位置,而302则用于临时性的重定向。这种做法有助于搜索引擎正确索引页面,并且对于维护良好的用户体验至关重要[^2]。 ### 2. 避免对API端点进行重定向 对于面向用户的网站,通常建议将HTTP请求重定向至HTTPS以增强安全性。然而,对于API来说,这样的重定向可能会导致客户端处理复杂度增加,甚至可能引发安全问题。因此,在设计API时应直接使用HTTPS,并避免通过重定向来强制转换协议[^3]。 ### 3. 利用HTML和JavaScript进行客户端重定向 如果无法控制服务器端配置,则可以采用HTML `<meta>`标签或者JavaScript来进行客户端重定向。例如,使用`<meta http-equiv="refresh" content="0; url=http://example.com/">`可以在页面加载时自动跳转至指定URL;而JavaScript可以通过`window.location.href = 'http://example.com'`实现类似效果。不过需要注意的是,这种方式可能不如服务器端重定向可靠,且可能影响SEO优化。 ### 4. 移动设备专用版本的重定向 针对移动设备访问,可以通过检测User-Agent头信息判断访问来源是否为移动设备,并据此决定是否将用户重定向到专门为移动设备优化过的网站版本。这有助于提供更佳的浏览体验,同时也能提高加载速度[^4]。 ### 5. 安全性考量 确保所有对外公开的服务都通过HTTPS提供,即使存在从HTTPHTTPS的重定向也是如此。这样做不仅能够保护数据传输过程中的隐私安全,还能提升用户信任度。此外,还需定期检查证书有效性,防止因证书过期等问题造成服务中断。 ### 示例代码:Nginx配置中的HTTPHTTPS重定向 ```nginx server { listen 80; server_name example.com www.example.com; # Redirect all HTTP requests to HTTPS return 301 https://$host$request_uri; } ``` 此配置片段展示了如何利用Nginx服务器模块将所有到达80端口的HTTP请求永久重定向至对应的HTTPS地址。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值