如何配置使用 HTTP 严格传输安全(HSTS)

最新推荐文章于 2025-06-16 15:23:04 发布
最新推荐文章于 2025-06-16 15:23:04 发布
阅读量1.4w 收藏 3
点赞数
分类专栏: 安全
本文介绍HTTP严格传输安全(HSTS)的功能及其实现方法。HSTS能有效防御中间人攻击和SSL剥离攻击,确保浏览器始终使用HTTPS访问指定站点。文章详细讲解了在Apache2、Nginx和Lighttpd等主流Web服务器上启用HSTS的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过: Nginx 1.1.19、 Lighttpd 1.4.28 和 Apache 2.2.22 ,环境为 Ubuntu 12.04、 Debian 6 & 7 和 CentOS 6,只需要调整部分参数就可以工作在其它的发行版上。

什么是 HTTP 严格传输安全?

引用自 Mozilla Developer Network

如果一个 web 服务器支持 HTTP 访问,并将其重定向到 HTTPS 访问的话,那么访问者在重定向前的初始会话是非加密的。举个例子,比如访问者输入 http://www.foo.com/ 或直接输入 foo.com 时。

这就给了中间人攻击的一个机会,重定向可能会被破坏,从而定向到一个恶意站点而不是应该访问的加密页面。

HTTP 严格传输安全(HSTS)功能使 Web 服务器告知浏览器绝不使用 HTTP 访问,在浏览器端自动将所有到该站点的 HTTP 访问替换为 HTTPS 访问。

以下引自维基百科

HSTS 可以用来抵御 SSL 剥离攻击。SSL 剥离攻击是中间人攻击的一种,由 Moxie Marlinspike 于2009年发明。他在当年的黑帽大会上发表的题为 “New Tricks For Defeating SSL In Practice” 的演讲中将这种攻击方式公开。SSL剥离的实施方法是阻止浏览器与服务器创建HTTPS连接。它的前提是用户很少直接在地址栏输入https://,用户总是通过点击链接或3xx重定向,从HTTP页面进入HTTPS页面。所以攻击者可以在用户访问HTTP页面时替换所有https://开头的链接为http://,达到阻止HTTPS的目的。

HSTS可以很大程度上解决SSL剥离攻击,因为只要浏览器曾经与服务器创建过一次安全连接,之后浏览器会强制使用HTTPS,即使链接被换成了HTTP。

另外,如果中间人使用自己的自签名证书来进行攻击,浏览器会给出警告,但是许多用户会忽略警告。HSTS解决了这一问题,一旦服务器发送了HSTS字段,用户将不再允许忽略警告。

场景举例:

当你通过一个无线路由器的免费 WiFi 访问你的网银时,很不幸的,这个免费 WiFi 也许就是由黑客的笔记本所提供的,他们会劫持你的原始请求,并将其重定向到克隆的网银站点,然后,你的所有的隐私数据都曝光在黑客眼下。

严格传输安全可以解决这个问题。如果你之前使用 HTTPS 访问过你的网银,而且网银的站点支持 HSTS,那么你的浏览器就知道应该只使用 HTTPS,无论你是否输入了 HTTPS。这样就防范了中间人劫持攻击。

注意,如果你之前没有使用 HTTPS 访问过该站点,那么 HSTS 是不奏效的。网站需要通过 HTTPS 协议告诉你的浏览器它支持 HSTS。

服务器开启 HSTS 的方法是,当客户端通过HTTPS发出请求时,在服务器返回的 HTTP 响应头中包含 Strict-Transport-Security 字段。非加密传输时设置的HSTS字段无效。

在 Apache2 中设置 HSTS

编辑你的 apache 配置文件(如 /etc/apache2/sites-enabled/website.conf 和 /etc/apache2/httpd.conf ),并加以下行到你的 HTTPS VirtualHost:

 
  1. # Optionally load the headers module:
  2. LoadModule headers_module modules/mod_headers.so
  4. <VirtualHost 67.89.123.45:443>
  5.     Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
  6. </VirtualHost>

现在你的 web 站点在每次访问时都会发送该请求头,失效时间是两年(秒数)。这个失效时间每次都会设置为两年后,所以,明天你访问时,它会设置为明天的两年后。

你只能在 HTTPS 虚拟机中设置这个头,而不能设置在 HTTP 虚拟机中。

要将你的访问者重定向到对应 HTTPS 站点,可使用如下设置:

 
  1. <VirtualHost *:80>
  2.   [...]
  3.   ServerName example.com
  4.   Redirect permanent / https://example.com/
  5. </VirtualHost>

如果仅仅是做重定向的话,甚至不需要设置 DocumentRoot。

你也可以使用 mod_rewrite 来做重定向,但是上述的方式更简单更安全。不过,mod_rewrite 可以重定向页面到对应的 HTTPS 页面,而上述配置则只重定向到“/”:

 
  1. <VirtualHost *:80>
  2.   [...]
  3.   <IfModule mod_rewrite.c>
  4.     RewriteEngine On
  5.     RewriteCond %{HTTPS} off
  6.     RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
  7.   </IfModule>
  8. </VirtualHost>

不要忘记重启 Apache。

Lighttpd

对于 lighttpd 来说很简单,将下述配置增加到你的 Lighttpd 配置文件(例如:/etc/lighttpd/lighttpd.conf):

 
  1. server.modules += ( "mod_setenv" )
  2. $HTTP["scheme"] == "https" {
  3.     setenv.add-response-header  = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload")
  4. }

重启 Lighttpd。失效时间也是两年。

Nginx

Nginx 甚至更简单,将下述行添加到你的 HTTPS 配置的 server 块中:

 
  1. add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

不要忘记重启 Nginx。

如何使用Nginx配置HSTSHTTP严格传输安全)?
长风破浪会有时的博客
04-02 3782
首先,我们要明白HSTS是什么。HSTS是一种安全策略,它告诉浏览器:“只能用HTTPS来访问我的网站,不要用HTTP哦!”这样,即使有人尝试用不安全的方式(HTTP)来访问网站,浏览器也会自动切换到安全的方式(HTTPS)。通过这个配置,我们可以确保用户总是通过安全的方式(HTTPS)来访问我们的网站,从而提高网站的安全性。现在,我们来看看如何使用Nginx来配置HSTS。这个配置做了什么呢?
HSTS----HTTP严格传输安全协议
Swee
07-16 1429
HTTP严格传输安全协议(英语:HTTP Strict Transport Security,简称:HSTS),是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。 缘起:启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不
Nginx配置HSTS
weixin_43117893的博客
06-27 3945
HSTS的全称是HTTP Strict-Transport-Security,它是一个Web安全策略机制(web security policy mechanism)。 HSTS最早于2015年被纳入到ThoughtWorks技术雷达,并且在2016年的最新一期技术雷达里,它直接从“评估(Trial)”阶段进入到了“采用(Adopt)“阶段,这意味着ThoughtWorks强烈主张业界积极采用这项安全防御措施,并且ThoughtWorks已经将其应用于自己的项目。 HSTS最为核心的是一个HTTP响应头(H
Security ❀ 关闭Google浏览器的域名HSTS强制Https功能
最新发布
无糖可乐没有灵魂
06-16 396
摘要:在Google Chrome浏览器中,可通过访问chrome://net-internals/#hsts进入域名安全策略管理页面。在"Delete domain security policies"模块中输入需要关闭HSTS功能的域名,点击删除按钮。操作完成后需刷新页面重新访问该域名。注意:此操作仅移除浏览器端的HSTS设置,若域名服务器本身强制HTTPS,则浏览器设置无效。该方法适用于解决因浏览器HSTS缓存导致的访问问题。
服务器配置HSTS(IIS和Tomcat)
每天学习一点点
04-19 6178
如果缺少HSTS配置,网站可能会被扫描出如下图所示的漏洞 服务器开启HSTS的方法 IIS操作方法: 确认是否安装 “URL 重写” 或者 “URL Rewrite” 模块 , 如果您已经安装可以跳过。 “URL重写” 模块下载地址 https://www.iis.net/downloads/microsoft/url-rewrite#additionalDownloads 已经安装模块的话,在iis的界面可以看到如下图所示的图标: 点击“添加规则” .
在 Nginx上配置 HSTS、CSP 等安全策略
qianghong000的博客
06-15 1083
web 安全
域名配置HSTS支持
技术笔记
04-09 581
编辑 Nginx 配置文件(如:/usr/local/nginx/conf/nginx.conf),将下面行添加到你的应用配置的server 块中。在/etc/apache2/httpd.conf增加以下内容至应用的 HTTPS VirtualHost中。将下述配置增加到Lighttpd 配置文件,一般在/etc/lighttpd/lighttpd.conf。三、Lighttpd服务器。
Owin.Hsts:用于 Http 严格传输安全 (HSTS) 规范的 OWIN 中间件
07-12
根据说法,HTTP 严格传输安全 (HSTS) 不仅可以强制加密会话,还可以阻止使用无效数字证书的攻击者,从而保护用户免受多种威胁,尤其是中间人攻击。 HTTP 严格传输安全 (HSTS) 是一种可选的安全增强功能,由 Web ...
X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
cc123489ll的博客
05-31 486
点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制。服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。影响影响取决于受影响的 Web 应用程序。
hsts-everywhere:强制Chrome在所有HTTPS连接上使用HTTP严格传输安全
05-14
标题“hsts-everywhere:强制Chrome在所有HTTPS连接上使用HTTP严格传输安全性”表明这是一个针对Chrome浏览器的扩展或设置,目的是使浏览器自动应用HSTS策略,无论用户访问哪个网站,只要该网站声明支持HSTS,浏览器...
HTTP严格传输安全协议 (HSTS)
weixin_34061482的博客
05-22 1431
2019独角兽企业重金招聘Python工程师标准>>> ...
在服务器上配置使用HTTPS通信的教程
01-11
HTTP 严格传输安全HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过: Nginx 1.1.19、 Lighttpd 1.4.28 和 Apache 2.2.22 ,环境为 Ubuntu 12.04、 Debian 6 & 7 和 CentOS 6,只需要调整部分参数就可以工作在其它的发行版上。 什么是 HTTP 严格传输安全? 引用自 Mozilla Developer Network:     如果
怎么配置配置HTTP 严格传输安全策略?HSTS是什么啊?includeSubDomains是什么意思
mapleqn的博客
12-04 810
漏洞检查出没有HTTP严格传输安全策略检测。问题描述:该应用未安全配置HTTP 严格传输安全策略。HSTS(全称:HTTP Strict Transport Security),即“HTTP 严格传输安全”,是一种安全功能,其实质是将服务器和浏览器配合起来,强制用户使用安全连接来访问服务器。HSTS是可选的响应标头,可以在服务器上配置该标头,以指示浏览器仅通过HTTPS进行通信,避免了用户通过不加密的协议与服务器进行通信。
nginx、Apache、Lighttpd启用HSTS
夏末浅笑
09-30 4346
越来越多的网站都已经开始或者实现了从HTTPHTTPS的升级和跳转,这是一个网站安全发展的趋势,同时也因为市场上SSL免费证书的充足,也进一步加快了普通网站实现 HTTPS 协议,但随之而来的安全性问题也出现了。 其中几乎所有的站长会开启强制 HTTPS 机制,也就是利用 301/302 对网站的 HTTP 请求全部跳转到 HTTPS,从而实现全站的 HTTPS 协议访问,但这显然不妥。所以这...
HSTS详解:强制HTTPS的安全策略
爱的叹息的专栏
05-11 1619
HSTSHTTP Strict Transport Security)是一种Web安全策略,通过响应头Strict-Transport-Security强制浏览器仅通过HTTPS访问网站,防止SSL剥离攻击。HSTS可通过Nginx等服务器配置,常用参数包括max-age(生效时间)、includeSubDomains(子域名生效)和preload(提交到浏览器预加载列表)。一旦设置,HSTS缓存无法立即清除,只能等待过期或用户手动清除。对于希望默认强制HTTPS的网站,可提交到HSTS Preload
Spring Security漏洞防护—HTTP 安全响应头
深圳市多克创新科技有限公司
10-24 2654
Spring Security漏洞防护—HTTP 安全响应头
解决: 您目前无法访问 因为此网站使用HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
热门推荐
青春木鱼的博客
01-16 7万+
使用“thisisunsafe”解决: 您目前无法访问 因为此网站使用HSTS。网络错误和攻击通常是暂时的,因此,此网页稍后可能会恢复正常
解决“您目前无法访问,因为此网站使用HSTS”问题
AcceptedLin的博客
12-27 1万+
HSTSHTTP 严格传输安全HTTP Strict Transport Security) 的缩写。这是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。如果一个网站声明了 HSTS 策略,浏览器必须拒绝所有的 HTTP 连接并阻止用户接受不安全的 SSL 证书。
HTTP 严格传输安全 (HSTS) 策略不启用
05-28
<think>好的,我需要帮助用户了解如何启用HSTS策略。首先,我应该回忆HSTS的基本概念,确认它是什么以及为什么重要。根据引用内容,HSTS通过响应头Strict-Transport-Security强制浏览器使用HTTPS,避免中间人攻击。这一点在引用1和4中都有提到。 接下来,用户想知道如何启用HSTS。根据之前的引用,不同的服务器配置方法不同。比如,引用2提到了Apache配置,引用3是Tomcat的,而引用4是Nginx的。我需要整理这些信息,分步骤说明不同服务器的配置方法。首先,Apache配置需要修改配置文件,添加Header setStrict-Transport-Security字段,并包含max-age、includeSubDomains和preload参数。Tomcat则需要修改web.xml,添加filter和header配置。Nginx则使用add_header指令。这些步骤需要具体说明,并给出代码示例,如引用中的代码块。另外,includeSubDomains参数的作用在引用1和4中提到,它表示包含所有子域名,这也是配置时需要注意的选项。preload参数涉及提交到浏览器预加载列表,需要用户明确是否添加。 然后,用户可能需要验证配置是否生效,所以需要说明如何检查响应头,比如使用浏览器开发者工具或curl命令。同时,要提醒注意事项,比如必须启用HTTPS,否则HSTS无效,这在引用2中提到过。最后,生成相关问题,帮助用户深入理解,比如优化HSTS配置、解决证书错误、与其它安全头配合使用等。这些问题需要基于现有引用内容,比如引用4提到了X-Frame-Options,可以关联起来。 需要确保回答结构清晰,分步骤说明,每个服务器配置单独列出,语法正确,使用中文,并且引用正确来源。同时,检查是否有遗漏的服务器类型,比如IIS或其他,但根据现有引用,可能只覆盖Apache、Tomcat、Nginx,所以可以专注于这些。</think>### 如何启用HTTP严格传输安全HSTS)策略? HTTP严格传输安全HSTS)是一种通过响应头强制浏览器仅通过HTTPS与服务器通信的安全策略。以下是具体配置方法: --- #### 一、核心配置步骤(通用) 1. **确保服务器已启用HTTPS** HSTS仅在HTTPS连接中生效,未加密的HTTP响应头设置无效[^2]。 2. **添加`Strict-Transport-Security`响应头** 包含以下参数: - `max-age=<秒>`:HSTS策略生效时间(建议至少`63072000`,即2年)[^4]。 - `includeSubDomains`(可选):将策略扩展到所有子域名[^1]。 - `preload`(可选):申请加入浏览器预加载列表[^4]。 --- #### 二、具体服务器配置示例 **1. Apache服务器** 修改`.htaccess`或虚拟主机配置文件: ```apache <IfModule mod_headers.c> Header set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS </IfModule> ``` 重启Apache生效[^2]。 **2. Nginx服务器** 在`server`块中添加: ```nginx add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; ``` 重载配置:`nginx -s reload`[^4]。 **3. Tomcat服务器** 修改`web.xml`,添加过滤器配置: ```xml <filter> <filter-name>HSTSFilter</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <init-param> <param-name>hstsEnabled</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>hstsMaxAgeSeconds</param-name> <param-value>63072000</param-value> </init-param> <init-param> <param-name>hstsIncludeSubDomains</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>HSTSFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 重启Tomcat生效[^3]。 --- #### 三、验证配置是否生效 1. **浏览器开发者工具** 在HTTPS响应头中检查是否包含`Strict-Transport-Security`字段。 2. **命令行工具** 使用`curl`命令: ```bash curl -I https://你的域名 ``` --- #### 四、注意事项 - **首次启用需谨慎**:若未完全支持HTTPS,可能导致用户无法访问。 - **预加载列表提交**:添加`preload`后需通过[hstspreload.org](https://hstspreload.org)提交域名[^4]。 - **与其他安全头配合**:如`X-Frame-Options`(引用4中示例)[^4]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值