http - 网页安全 - http、https、hsts
问题描述
我有网络服务器 IIS,我可以直接访问像(page.com)这样的页面,这就是我允许 HTTP(端口 80)然后我使用 HTTPS(端口 443)的原因。当用户在端口 80 ( ) 上进入页面时page.com
,他将被重定向到 HTTPS (443)。所以我的网络服务器使用带有长 max-age 参数的 HSTS(防御ssl strip
)。
我的页面以这种方式使用 HSTS 标头是否安全?如果没有,我该怎么办?
非常感谢!
解决方案
与往常一样,这个问题是针对什么安全的?在使用 HSTS 的第一次响应之后(以及在它过期之前)保护 ssl strip ?是的。在第一个请求(或 HSTS 过期后的第一个请求)上防止 ssl 剥离?不会。是否能抵御一系列不同的攻击?不一定(第一次请求时的 dns 劫持、公司 ssl 检查、客户端中的流氓根证书、恶意软件......列表是无穷无尽的)。
你能让它更安全吗?是的,通过完全禁用纯 http。这在你的场景中有意义吗?只有你能说出来。
推荐阅读
- woocommerce - Woccommerce 订阅定期付款问题
- python - 在 Python 中使用 Pandas 合并时间序列数据帧及其集体附加注释
- python - Jenkins - 将主作业中的作业拆分为并行运行 - 将输出传递给多个作业
- npm - NPM 7 工作区 - 多个 node_modules?
- linux - 如何使 Visual Studio Post Build Event 命令行中的 XCOPY 同时支持 Linux 和 Windows?
- reactjs - useRef 中的 ref 是如何工作的?
- c++ - C++11 获取从线程更新的 std::future 数据
- c# - 为什么可以 IEnumerable
这样做,但列出 不能? - php - 无法发送消息。邮件程序错误:SMTP 错误:无法验证。在php中
- windows - 我可以将 Kubernetes Windows 节点加入 Active Directory 吗?