怎么配置配置了HTTP 严格传输安全策略?HSTS是什么啊?includeSubDomains是什么意思

最新推荐文章于 2025-03-03 12:27:31 发布
最新推荐文章于 2025-03-03 12:27:31 发布
阅读量690 收藏 3
点赞数 3
文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mapleqn/article/details/144230413
版权

事情起因

漏洞检查出没有HTTP严格传输安全策略检测。

问题描述:该应用未安全配置了HTTP 严格传输安全策略。
HSTS(全称:HTTP Strict Transport Security),即“HTTP 严格传输安全”,是一种安全功能,其实质是将服务器和浏览器配合起来,强制用户使用安全连接来访问服务器。HSTS是可选的响应标头,可以在服务器上配置该标头,以指示浏览器仅通过HTTPS进行通信,避免了用户通过不加密的协议与服务器进行通信。

整改说明:
开启HTTP 严格传输安全策略,且最大寿命必须至少设置为31536000秒(1年),必须指定includeSubDomains指令。

HSTS是啥子,让我干啥

以下是 HSTS 标头组件的细分:

max-age:指定浏览器应记住强制使用 HTTPS 的时间长度(以秒为单位)。

includeSubDomains:(可选)将 HSTS 策略应用于当前域的所有子域。

preload:(可选)表示域名所有者同意在浏览器中预加载其域名。

【来源:https://www.wosign.com/wenda/3903.html】

怎么整改

经过一番搜索以后得知,整改步骤就是需要在响应的时候,请求头添加一个header。
我们目前统一使用nginx分发接口,所以需要找出nginx的配置文件。
在配置中加入这一行。
在配置中加入

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

实际nginx配置中会有很多的配置,可能会眼花缭乱,不知道加在哪里。我搜了好多文章,发现都是加在这个位置。所以为了不出错,搜索443,找到server_name下方插入这一行配置。

校验是否成功

修改配置后启动。打开抓包工具Charles,发送一个请求,点开详情如下。
在这里插入图片描述

请求体

第一个绿色框是你发送的请求详情,我框少了一些,下面的几个工具栏都是包含在内的。Headers到Raw,都是请求详情内的具体信息。

响应体

第二个绿色框是服务器返回的响应内容。
我们这次需要查看的是,服务器是否在请求头上添加了我们的配置。

Strict-Transport-Security “max-age=31536000; includeSubDomains”;

所以点击下方的Headers,展开如上图。可以看见我们的配置已经生效。

秦宜会
关注
HTTP严格传输安全协议 (HSTS)
weixin_34061482的博客
05-22 1387
2019独角兽企业重金招聘Python工程师标准>>> ...
如何使用Nginx配置HSTSHTTP严格传输安全)?
长风破浪会有时的博客
04-02 3507
首先,我们要明白HSTS是什么。HSTS是一种安全策略,它告诉浏览器:“只能用HTTPS来访问我的网站,不要用HTTP哦!”这样,即使有人尝试用不安全的方式(HTTP)来访问网站,浏览器也会自动切换到安全的方式(HTTPS)。通过这个配置,我们可以确保用户总是通过安全的方式(HTTPS)来访问我们的网站,从而提高网站的安全性。现在,我们来看看如何使用Nginx来配置HSTS。这个配置做了什么呢?
Owin.Hsts:用于 Http 严格传输安全 (HSTS) 规范的 OWIN 中间件
07-12
欧文.Hsts 根据说法,HTTP 严格传输安全 (HSTS) 不仅可以强制加密会话,还可以阻止使用无效数字证书的攻击者,从而保护用户免受多种威胁,尤其是中间人攻击。 HTTP 严格传输安全 (HSTS) 是一种可选的安全增强功能,由 Web 应用程序通过使用特殊响应标头指定。 一旦受支持的浏览器收到此标头,该浏览器将阻止通过 HTTP 向指定域发送任何通信,而是通过 HTTPS 发送所有通信。 它还可以防止浏览器上的 HTTPS 点击提示。 该规范已于 2012 年底由 IETF 作为 (HTTP 严格传输安全 (HSTS))发布 * 该软件包旨在为开发人员提供以标准化方式有效支持该规范所需的中间件。 要安装包,请在中搜索Owin.Hsts或从包控制台运行以下命令: Install-Package Owin.HSTS 然后打开Startup.cs并添加以下内容: usin
检测到目标Strict-Transport-Security响应头缺失
最新发布
qq_43893277的博客
03-03 334
检测到目标Strict-Transport-Security响应头缺失。
启用了被称为 HTTP 严格传输安全HSTS)的安全策略,Firefox 只能与其建立安全连接
热门推荐
weixin_46504044的博客
03-27 2万+
启用了被称为 HTTP 严格传输安全HSTS)的安全策略,Firefox 只能与其建立安全连接问题描述解决方案 问题描述 用Firefox打开Github时有时会报错,如图所示: 解决方案 在地址栏里输入about:config 勾选警示,然后点接受风险并继续 搜索security.enterprise_roots.enabled,把默认false改为true 重启浏览器 ...
HSTS 严格传输安全
Sunny_Ducky的博客
08-21 2214
HSTS HTTP Strict Transport Security HTTP严格传输安全 背景 当我们在地址栏输入sjtusec.com的时候,浏览器是怎样转成HTTPS的呢?这里说一下重定向。在当时将证书安装在服务器时,需要在配置文件中添加重定向信息。 该mod_write模块使用基于规则的重写引擎,基于正则表达式,动态重写请求的URL1,将HTTP转为HTTPS。如当我在地址栏中输入h...
firefox因 HTTP 严格传输安全HSTS)机制无法打开网页
weixin_33847182的博客
12-28 1万+
1、打开about:config 2、查找: security.enterprise_roots.enabled ,默认为false,改为true就可以了 3、吐槽,firefox太极端了,这是作死。
HTTP 严格传输安全HSTS
ChinFeng的专栏
05-22 4358
What is HSTS? HTTPS (HTTP encrypted with SSL or TLS) is an essential part of the measures to secure traffic to a website, making it very difficult for an attacker to intercept, modify, or fake traf
X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
cc123489ll的博客
05-31 434
点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制。服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。影响影响取决于受影响的 Web 应用程序。
Laravel配置HTTP严格传输安全指南
Laravel开发中涉及到的HTTP严格传输安全性(HSTS,即Strict Transport Security)是一种安全特性,它允许网站通过强制浏览器使用加密的HTTPS连接来提高网站的安全级别。当网站配置HSTS后,浏览器将记住该网站指定...
hsts安全策略怎么打开_使用HSTS标头进行跨网络的安全通信
服务器编程交流平台
07-08 2157
任何开发人员在网络上保护和加密通信始终应该是头等大事。 沿着这些思路,加密和确保机密性的性能开销相对较小。 我要说的是,在所有基于HTTP的流量上使用SSL应该是一个普遍的要求。 这就是HTTP严格传输安全性(HSTS)出现的地方。HSTS标头可以确保与Web服务器的所有通信都是安全的。 HSTS参数 HSTS标头用于强制服务器和浏览器通过HTTPS进行通信。 然后,HSTS列出的...
Nginx HTTP严格传输安全模块配置指南
Nginx的ngx_http_hsts模块是一个扩展模块,用于实现HTTP严格传输安全HSTS策略HSTS是一种安全机制,它告诉浏览器应该通过HTTPS而不是HTTP来访问特定网站,从而提高网站的安全性。当用户首次通过HTTPS连接到支持...
HSTS
hit_Wan
03-28 330
HTTP严格传输安全(英语:HTTPStrictTransportSecurity,缩写:HSTS)是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。 HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议(HTTP)响应头中包含Strict-Transport-Security字段。非加密传输时设置的...
HSTSHTTP 严格传输安全
allway2的博客
09-05 3905
最后,可以(并且强烈推荐)将您的 HSTS 标头预加载到主要 Web 浏览器的源代码中,方法是将您的域提交到 hstspreload.org。在这种情况下,攻击仍然是可能的,因为攻击者在实际的 Web 服务器有机会告诉用户的浏览器使用 HSTS 之前接管了连接。正如我之前提到的,预加载是一种机制,即使用户第一次访问该网站,您也可以使用该机制使用 HSTS 标头保护您的网站。幸运的是,对于不想要任何未加密连接的网站,有一种选择加入机制。幸运的是,有一个解决方案,我保证你会在本文结束时了解它的一切。
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(二)
weixin_30435261的博客
02-27 200
HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一) 下面来查看其他对保存HSTS信息的enabled_sts_hosts_进行操作的函数,对这些函数进行追踪来了解是如何对状态进行管理的。 1.首先发现几个没有调用者的方法 TransportSecurityState::DeleteDynamicDataFo...
hsts deprecated The “includeSubdomain” paramter is deprecated
weixin_43190367的博客
07-03 281
https://stackoverflow.com/questions/56337764/hsts-deprecated-the-includesubdomain-paramter-is-deprecated?r=SearchResults
HSTS是什么?怎么取消HSTS?怎么查询HSTS
m0_46665077的博客
06-17 1万+
HSTS是什么?怎么取消HSTS?怎么查询HSTS
JAVA年度安全 第八周 HTTP严格传输安全协议
New World
06-03 4276
Whatis it and why should I care? HTTP严格传输安全HSTS)是一个新技术,强制浏览器使用SSL/TLS(HTTPS)协议来访问应用。当应用在HTTP的响应头中设置HSTS标识,如果浏览器支持HSTS标识,那么本次通讯完全是基于HTTPS的。下面是简单的流程: 1、 用户通过HTTP或者HTTPS协议访问WEB应用,大部分用户使用HTTP协议,因为通
如何配置使用 HTTP 严格传输安全HSTS
刘书的IT博客
10-25 1万+
HTTP 严格传输安全HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过: Nginx 1.1.19、 Lighttpd 1.4.28 和 Apache 2.2.22 ,环境为 Ubuntu 12.04、 Debi
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值