- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
我有一个网站(来自 godaddy 的域并托管在 hostgator 中)。当我手动更新证书时,我可以将我的网站重定向到 https,但它总是从谷歌搜索转到 http。在线搜索后,我了解到 Considering Strict-Transport-Security: max-age=15768000
as result of curl -i -L
on target domain 将适用于我的需要,因为它会强制浏览器以 https 打开网站。但我对如何在我的网站上实现这一点感到困惑。
谁能帮我解决这个问题?
最佳答案
不确定这是否适合 Stack Overflow。再说一次,它涵盖的主题太多,以至于它也不太适合任何其他 Stack Exchange 站点。所以无论如何都会尝试回答。
重定向。
“我可以将我的网站重定向到 https”是什么意思?您应该将您的网站重定向到 https,现在您已经完成了设置的麻烦,您在做吗?还是您可以同时访问 http 和 https?如果是这样,请了解如何强制使用 https,即使用户设置了 http。
这是在您的网络服务器上设置的重定向规则。不确定您是否可以直接访问您的配置(例如,如果使用 Apache,则为 .htaccess 文件)还是需要您的主机提供商为您设置。
谷歌搜索
关于 Google 搜索,一旦您设置了重定向,Google 将需要一些时间来识别这一点并更新其搜索索引中的链接以显示页面的 https 版本。
说您可以通过多种方式将此事告诉 Google 以加快流程:
rel="canonical"
并且它是否设置为 https 版本?例如,如果您同时允许页面的 http 和 https 版本(不推荐),这会告诉 Google 哪个页面是真实版本。HTTP 严格传输安全 (HSTS)
这是一个高级主题,因此在您深入了解之前不推荐它。基本上它是一个 HTTP header ,您通过 https 发送回您的网页,告诉网络浏览器“嘿,我是一个仅限 https 的网站。从现在开始,自动将任何 http 请求自动转换为 https,之前您甚至把它们发给我”。
这是一个很好的安全性补充,在 重定向之上,但重要的是它不会取代 对重定向的需要。重定向需要先到位才能将其发送到 https,此时您的 Web 服务器可以发送 HSTS HTTP header (浏览器将缓存该 header ,以便它知道下次更改为 HTTPS)。
要设置它,您需要像这样发送一个 HTTP header (但只能通过 https 请求)。
Strict-Transport-Security "max-age=16070400"
这可以在您的网络服务器中设置,或者在您的 php 文件中或您可以发送 HTTP header 的任何其他方式中设置。
请注意,我们会阻止您的网站通过 http 访问,因此如果您出于任何原因决定关闭 https,那么您基本上已经阻止了您的网站,最长可达 max-age 时间已缓存该设置的浏览器。
有关 HSTS 的更多信息,请参见此处: 301 Redirect and HSTS in .htaccess
但我真的不认为这就是您在这里寻找的东西。它告诉网络浏览器(如谷歌浏览器)强制使用 https,与搜索引擎(如谷歌搜索)无关,因为目前,它们会忽略此 header 。
关于php - 如何在我的网站中实现 HSTS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45727909/
我正在转换为 IE6 设计的旧系统以在现代浏览器上运行。 网站中那些还没有被转换的部分,只能在 Internet Explorer 上运行,IE6 仿真是通过下面的标签提供的。 我计划将 HSTS
我正在开发一个将 HSTS header 添加到 Web 应用程序的项目。 作为准备工作,我仅使用 default-src https 指令在报告模式下添加了 CSP header 。目的是评估违规情
https://hstspreload.org/建议应该有 2 个重定向: http://yourdomain.com至 https://yourdomain.com https://yourdoma
我正在使用一个称为“GoAgent CA”的假根CA通过代理访问许多https网站。 最近,我的Mac上的所有浏览器都显示HSTS failure和“证书有问题”。 我知道自己有患MITM的危险。但是
我在这里测试我的网站https://hstspreload.org我得到了这个错误: Error: HTTP redirects to www first http://example (HTTP)
我知道如果我的网站在预加载列表中注册,hsts(http 到 https)将从第一次开始工作。 另一方面,我还在我的 Web 服务器的 hsts header 中声明预加载。 如果我第一次使用 htt
我对 curl 完全陌生,正在尝试确定网站是否使用 Strict-Transport-Security。 我正在逃避建议。我被告知要检查 Chrome's preloaded list并运行 curl
在 ASP.NET Core 2.2 应用程序中,我们使用 app.UseHsts(); 启用了 HSTS,它在响应 header 中添加了 max-age 为 30 天的 HSTS。 在 fiddl
如果我正在运行仅 HTTPS 服务,是否有任何理由不启用 HSTS?是否有在不永久启用 HSTS 的情况下测试 HSTS 的策略或“退出”HSTS 的方法? 最佳答案 我想在 Mike 的回答中添加警
我有一个网站(来自 godaddy 的域并托管在 hostgator 中)。当我手动更新证书时,我可以将我的网站重定向到 https,但它总是从谷歌搜索转到 http。在线搜索后,我了解到 Consi
我在 /etc/nginx/sites-available/default 中有这个配置 server { listen 443 ssl; # managed by Certbot ...
我们在 Amazon ec2 上有一个服务器以满足开发人员的需要,我们有一个在 docker 容器下运行的网站。用于现场测试新功能一切正常,但昨天我大约 70% 的同事无法访问这个开发站点。发生 SS
我最近开始在我的一个网站上提供“strict-transport-security” header 。我没有预料到的一个问题是我的 SSL 证书只涵盖 mydomain.com,因此如果用户访问 ww
问题几乎就在标题本身。如果我有一个应用程序并为 HSTS header 使用 includeSubdomains 但根本没有子域,这是好还是坏? 最佳答案 很好。 如果您计划将网站提交给 Google
所以,大约一年前,我在我的网站上设置了 HSTS 并将其提交到 Google 的预加载列表。现在,我遇到了一个问题,因为我将我的 sendgrid 链接跟踪标记为白色,它依赖于我网站子域的 cname
我有以下设置: 申请https://app.domain.de是我们的生产环境,自动转发使用HTTPS。这里一切正常。最重要的是,我们的 QA 团队有多个开发版本的应用程序,可通过 http://de
我正在尝试在我的 Spring Boot 应用程序中启用 HSTS。我已将以下内容添加到我的 WebSecurityConfig (基于 Enable HTTP Strict Transport Se
我正在尝试记录使用 HTTP 严格传输安全 (HSTS) 的网站的流量。因此,无法为证书添加异常(exception)。这意味着我无法录制 session 。 有谁知道我该如何处理? 最佳答案 使用
最近,我为我的站点切换了服务器,我设法丢失了解密的 SSL key ,而且我不记得加密的密码。结果是服务器开启了 HSTS,现在很多访问者无法加载页面,因为我没有有效的 SSL 证书,并且他们的浏览器
我希望在我的网站中实现 HSTS“ super Cookie”,这样用户就不必在每次访问该网站时都填写特定的表格:SQL 数据库将映射他们的 HSTS“ super Cookie” "代码到他们以前的
我是一名优秀的程序员,十分优秀!