浏览器安全协议?浏览器默认的安全协议?HSTS 背景:当访问我们的域名从http变成https时,安全性能得到了极大的提升。但这也不代表绝对的安全。HSTS简介 HTTP严格传输安全协议 ,是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。使用HSTS和不适用HSTS的区别不适用HSTS的情况在浏览器的地址栏输入网址时,有时我们不会输入https协议,浏览器默认使用http进行访问。
长效甲状腺刺激素
背景:访问我们的域名从http改成https时,安全性能大大提高。但不代表绝对安全。
HSTS简介
HTTP严格传输安全(HSTS)是由互联网工程任务组发布的一套互联网安全策略机制。网站可以选择使用HSTS策略来强制浏览器使用HTTPS与网站通信,从而降低会话劫持的风险。
使用HSTS和不使用HSTS的区别
HSTS不适用的情况
在浏览器地址栏输入网址时,有时我们不输入https协议,浏览器默认使用http进行访问。
成功握手后,TCP返回302状态代码。
因为端口号改变了,需要重新建立连接(源IP,目的IP,源端口,目的端口,如果这四个条件有任何一个改变,都需要重新建立连接)
进行ssl认证。
出现的问题:
前两步花费的rt是没有意义的,会让用户觉得网站在感知上相应的慢。
前面不使用Https,很容易被攻击劫持。
HSTS的使用
在这个域名设置的有效期内,所有的http请求,在没有人感知的情况下,都会在浏览器内部跳转307,向网站发起https请求。
HSTS缺陷
HSTS的实现是让Strict-Transport-Security http头告诉浏览器这个域名需要使用HSTS函数。因此,第一个请求可能不可避免地需要使用http协议来访问它。具体的解决方法是使用Preload来避免第一个HTTP请求。你可以通过这个网站查看和申请https://hstspreload.org/?domain=www.facebook.com
当你的浏览器被缓存,证书异常,你的网站可能无法访问。直到证书问题得到解决或缓存被清除。
如何使用HSTS
在响应请求标头中添加Strict-Transport-Security。
设置HSTS的有效时间。
IncludeSubDomains表明它是否适用于您网站的子域。
谷歌维护着一个HSTS预加载服务。按照说明成功提交您的域名后,浏览器绝不会使用不安全的方法连接您的域名。虽然服务是由Google提供的,但是所有浏览器都有使用这个列表的意图(或者已经在使用了)。然而,这不是HSTS标准的一部分,也不应被视为正式内容。
Nginx配置
您可以在服务器块或http块中添加。
示例:
您可以在浏览器中查看相应的信息。
本文来自网络,不代表「专升本要什么条件_专升本要几年_成人高考专升本_山东专升本信息网」立场,转载请注明出处:http://www.sdzsb8.cn/zsxx/19984.html
- 上一篇:兴趣与职业之间的关系,你知道吗?
- 下一篇:黑龙江省考报名时间延长缴费时间顺延