avatar

tetsai

原创声明

本文由tetsai原创,转载请注明来源

什么是HSTS

一种安全标准,浏览器会强制使用https连接对被设置HSTS的域名,而且证书出现问题,用户无法忽略风险访问。

它有什么必要

因为有些用户访问网站,并不是输入整站链接如https://tetsai.net

而是输入tetsai.net 这时浏览器会采用http连接

中间人攻击可以在建立安全连接之前就把网站导到别的地方

而且替换证书之后浏览器的警告大多数会被用户点继*访问,增加风险,所以隆重推出HSTS

如何开启

让其输出协议头,其中php的代码为

header('Strict-Transport-Security: max-age=63072000; includeSubDomains; preload');
//输出协议头Strict-Transport-Security: max-age=63072000; includeSubDomains; preload 63072000指的是生效秒数

但是这必须让浏览器预先建立一次安全连接才可以,那有什么办法可以360无死角保护?

提交Preload list

链接:https://hstspreload.org/

首先必须让网站可以302跳转到https,然后网站必须输出Strict-Transport-Security协议头,点check,然后下面有个submit,勾选第一个表示志愿加入HSTS,第二个表示应用到所有的子域名子子域名子子子域名....

然后提交后输出Success,静观其变就好

发表评论

电子邮件地址不会被公开。 必填项已用*标注