亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

HTTP HSTS協議和 nginx

發布時間:2020-08-04 21:09:11 來源:ITPUB博客 閱讀:163 作者:hdgara1 欄目:網絡安全

HTTP HSTS協議和 nginx

Netcraft 公司最近公布了他們檢測SSL/TLS網站的研究,并指出只有僅僅5%的用戶正確執行了HTTP嚴格傳輸安全HSTS。本文介紹nginx如何配置HSTS。

什么是HSTS

HTTPS(SSL和TLS)確保用戶和網站通訊過程中安全,使攻擊者難于攔截、修改和假冒。當用戶手動輸入域名或http://鏈接,該網站的第一個請求是未加密的,使用普通的http。最安全的網站立即發送回一個重定向使用戶引向到https連接,然而,中間人攻擊者可能會攻擊攔截初始的http請求,從而控制用戶后續的回話。

自然而然HSTS應運而生為了解決這一潛在的安全問題。即時用戶輸入域名或http連接,瀏覽器將嚴格的升級到https連接。

HTTP HSTS協議和 nginx

HSTS如何工作的

HSTS策略是從安全的HTTPS站點發送的HTTP響應頭部發布的。

1 Strict Transport Security : max age = 31536000

當瀏覽器從HTTPS站點看到這個頭部,就知道該域名只能通過HTTPS(SSL 或者 TLS)訪問了。并將此信息緩存到31536000,也就是1年。

可選的參數includeSubDomains告訴瀏覽器該策略適用于當前域下的所有子域。

1 Strict Transport Security : max age = 31536000 ; includeSubDomains

nginx配置HSTS

在nginx配置文件上設置HSTS響應頭部。

1 add_header Strict Transport Security “max-age=31536000; includeSubDomains” always ;

always 參數確保所有的響應設置該頭部,包括內部產生的錯誤響應。nginx版本早于1.7.5不支持該always參數和內部產生的錯誤響應不設置該頭部信息。

add_header指令繼承規則:

nginx配置塊繼承add_header指令所在的封裝塊,因此只需將add_header指令放在頂級的server塊。此外還有個重要的例外,如果一個塊包含了add_header指令本身,它不會從封裝塊繼承該頭部,你需要重新定義所有的add_header指令。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 server {      listen 443 ssl ;      add_header Strict Transport Security “max-age=31536000; includeSubDomains” always ;      # This ‘location’ block inherits the STS header      location / {          root / usr / share / nginx / html ;      }      # Because this ‘location’ block contains another ‘add_header’ directive,      # we must redeclare the STS header      location / servlet {          add _header X Served By “My Servlet Handler” ;          add_header Strict Transport Security “max-age=31536000; includeSubDomains” always ;          proxy_pass http : //localhost:8080;      } }

測試HTTP嚴格傳輸安全:

一旦用戶提出HSTS策略,它的緩存信息期由max-age指定。在此期間,瀏覽器將會拒絕通過未加密的HTTP訪問web服務,并拒絕給予例外證書錯誤(如果該網站以前提交了一個有效可信的證書)。如果指定了一個includeSubDomanis參數,這些限制也同樣適用于當前域下的所有子域。

當你測試HSTS時,max-age時間設置短點。

是否每個HTTPS響應需要有一個STS頭部:

我們的目標是當用戶開始HTTPS回話時,盡可能快的呈現HSTS策略。如果他們在回話期間接收到HSTS策略,他們仍然容易受到HTTP劫持攻擊的。瀏覽器只需查看一次STS頭部,因此它不是嚴格必要將它添加到每個位置塊和每個響應。然而,只在主頁或者登陸頁面添加它可能是不夠的,如果你只添加到緩存的響應,客戶端可能無法看到它。確保盡可能多的合理的覆蓋到你的URL,特別注意動態的內容。

HTTP和HTTPS并行

有時網站需要同時運行在HTTP和HTTPS下

1 2 3 4 5 server {      listen    80 ;      listen    443 ssl ;      . . . }

有時,需要將http請求重定向到https

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 server {      listen 80 default_server ;      listen [ :: ] : 80 default_server ;      server _name _ ;      # Discourage deep links by using a permanent redirect to home page of HTTPS site      return 301 https : //$host;      # Alternatively, redirect all HTTP links to the matching HTTPS page      # return 301 https://$host$request_uri; } server {      listen 443 ssl ;      server_name www . ttlsa . com ;      add_header Strict Transport Security “max-age=31536000; includeSubDomains” always ; }

加強HSTS

保護客戶端從HTTP攔截,從它看到STS頭部到聲明的max-age的期間內。然而,HSTS并不是HTTP回話劫持的完美解決方案。用戶仍然容易受到攻擊,如果他們通過HTTP訪問HSTS保護的網站時:

  • 以前從未訪問過該網站
  • 最近重新安裝了其操作系統
  • 最近重新安裝了其瀏覽器
  • 切換到新的瀏覽器
  • 切換到一個新的設備如移動電話
  • 刪除瀏覽器的緩存
  • 最近沒訪問過該站并且max-age過期了

為了解決這個問題,google堅持維護了一個“HSTS preload list”的站點域名和子域名,并通過https://hstspreload.appspot.com/提交其域名。該域名列表被分發和硬編碼到主流的web瀏覽器。客戶端訪問此列表中的域名將主動的使用HTTPS,并拒絕使用HTTP訪問該站點。

一旦設置了STS頭部或者提交了你的域名到HSTS預加載列表,這是不可能將其刪除的。這是一個單向的決定使你的域名通過HTTPS可用的。

HTTP HSTS協議和 nginx

全球可信CA機構

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

阳泉市| 锦州市| 和顺县| 冷水江市| 白沙| 孟连| 龙胜| 墨玉县| 北海市| 博爱县| 龙岩市| 乌兰浩特市| 桓仁| 钦州市| 容城县| 万山特区| 鲁甸县| 泰顺县| 凤翔县| 扎兰屯市| 德格县| 朝阳市| 南靖县| 云浮市| 罗平县| 波密县| 桦南县| 连南| 永胜县| 大渡口区| 阜阳市| 柘城县| 黄梅县| 依兰县| 抚宁县| 洛扎县| 浦江县| 镇安县| 吉首市| 黄骅市| 乡城县|