cloudflare - Cloudflare 关于 HSTS 的警告是否被夸大了?
问题描述
Cloudflare 向我提出的关于启用 HSTS 的警告既冗长又充满可怕的警告,描述了一些情况,在这些情况下,我的用户将无法访问我的网站长达 6 个月(即永远)。这里的例子
在我看来,触发这些事情的唯一方法是禁用 HTTPS/SSL——现在是 2020 年,我/任何人为什么要这样做?
在一个应该在任何地方都启用 SSL 的世界里,这些警告是否被夸大了?假设我没有关闭 SSL - 我可以启用它并开心吗?
解决方案
我认为 HSTS 很好,应该使用,但我讨厌这些在线教程说只是打开它而不警告错误的后果。我有一篇博文讨论像这样的“危险的 Web 安全功能”以及 HPKP 甚至 CSP。
是的,您是对的,我们正越来越多地转向 HTTPS 世界,如果您已经切换,这应该是低风险的。
但是,可能会错过场景并导致问题。
例如,如果您没有在所有地方启用 SSL,则仅考虑您的主要网站。例如,您在 TLD (example.com) 上启用它,或预加载它,以及 www 版本 (www.example.com),但您也可以在没有 SSL 的其他地方重用该域(例如 intranet.example.com 或 dev. example.com 或 oldapp.example.com),那么这些将停止工作。
谷歌过去常常维护一个列表,列出那些因为没有考虑到全部而后悔的预加载 HSTS,或者因为 Web 开发人员认为他们在保护网站方面做得很好,但却破坏了其他东西。
所以我认为发出警告并不过分。
对于一个全新的网站,我会从一开始就使用 HSTS,除非有充分的理由不这样做。
推荐阅读
- r - 效率:多个geom_line() 或gather() - R
- python - 这种切片是如何工作的:Python 中的 `my_string[3:3 + 5]`?
- python - (多线程 Python)交替打印 1 到 10 个数字,使用两个线程
- pandas - 如何获取数据类型str的列的总和并按另一列分组
- sql - 至少 5 个唯一客户购买的产品的 SQL 数量
- visual-studio - 在 Visual Studio 中单击“查看 Windows 设置”时出现 Disp_E_Exception
- javascript - Angular 8:反应式表单自动映射和 PatchValue 设置成员数据
- javascript - -2130575251,Microsoft.SharePoint.SPException -
- php - PHP - 将来自不同查询的 MySQL 结果存储到数组中
- flutter - 如何固定步进器的无限高?