服务器启用HSTS协议

主机教程评论374字数 1805阅读6分1秒阅读模式

20211216 61bb4d314b69fHSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议,网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。

采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址。该协议将帮助网站采用全局加密,用户看到的就是该网站的安全版本。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。文章源自国外主机测评-https://www.zjcp.org/14436.html

服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。文章源自国外主机测评-https://www.zjcp.org/14436.html

比如,https://www.williamlong.info 的响应头含有Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点:在接下来的一年(即31536000秒)中,浏览器只要向www.williamlong.info或其子域名发送HTTP请求时,必须采用HTTPS来发起连接。比如,用户点击超链接或在地址栏输入 http 网址 ,浏览器应当自动将 http 转写成 https 网址。文章源自国外主机测评-https://www.zjcp.org/14436.html

对于nginx服务器,只要在添加Strict-Transport-Security这个HTTP头部信息即可。文章源自国外主机测评-https://www.zjcp.org/14436.html

add_header Strict-Transport-Security “max-age=31536000”;文章源自国外主机测评-https://www.zjcp.org/14436.html

但有一点需要注意,Strict-Transport-Security中的max-age的时间不能小于15552000。文章源自国外主机测评-https://www.zjcp.org/14436.html

对于Windows server服务器,打开网站目录下的 web.config 这个文件,在相应的位置添加上针对 https 响应的 url 重写规则(黑体部分),并保存。文章源自国外主机测评-https://www.zjcp.org/14436.html











redirectType=”Permanent” />


           

pattern=”.*” />








文章源自国外主机测评-https://www.zjcp.org/14436.html

开启了HSTS后,你部署SSL/TLS的服务检测得分就可能是A+以上了。这时候就可以加入HSTS Preload List。文章源自国外主机测评-https://www.zjcp.org/14436.html

HSTS preload list是Chrome浏览器中的HSTS预载入列表,在该列表中的网站,使用Chrome浏览器访问时,会自动转换成HTTPS。Firefox、Safari、Edge浏览器也在采用这个列表。文章源自国外主机测评-https://www.zjcp.org/14436.html

进入hstspreload官网,输入你的域名,然后检测结果会告诉是否符合加入HSTS Preload List,没有问题的话勾选确定。

当然,加入到了HSTS Preload List后,你可能还需要等待1-2月,待新版本的Chrome和Chromium、Firefox、IE等发布后,你的域名算是正式被各大浏览器承认并强制使用Https访问了。

 
  • 本文由 主机测评 发表于 2021年9月2日00:00:00
  • 转载请务必保留本文链接:https://www.zjcp.org/14436.html
  • HSTS协议

发表评论