个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
如果我的站点使用安全 session cookie 在 https 上提供服务并将任何对 http url 的尝试重定向到 https,它是否足够好?
如果不设置 HSTS header ,我将无法在此设置中暴露出什么样的安全漏洞?
最佳答案
此策略通过使攻击者难以诱骗您的用户使用 SSL 以外的其他方式访问您的站点来防止被动窃听。它还可能确保用户存储的任何书签都将指向 https URL,这很好。然而,HSTS 在发生中间人攻击时仍然具有优势。
HSTS 试图解决的问题的核心是浏览器不知道给定站点是否应该使用 SSL。而且大多数用户不会首先明确尝试 SSL;如果他们输入 URL,他们通常会先访问非 SSL http 站点,而且通常他们只是点击链接。如果攻击者可以通过 http URL 诱使您的用户访问您的站点,并且可以位于用户流量的中间(例如,作为他们的无线 AP),则该攻击者可以发起中间人攻击通过代理用户访问您网站的流量并在没有 SSL 的情况下向用户展示该网站(这是一种降级攻击)来针对您的网站。由于用户看不到 SSL,因此他们的浏览器不会识别出攻击者没有您站点的有效证书并且他们没有直接连接到您的站点。 (更复杂的方法是拦截 SSL 流量并为您的站点提供自签名证书或其他无效证书,但这通常会导致浏览器警告。)
在这种情况下,将非 SSL 用户重定向到 SSL 或在 cookie 上设置安全标志实际上并没有多大帮助。中间人攻击者将连接到您的 SSL 站点(并代理用户对它的操作),并且在将它们传递给用户时只会从您的 cookie 中删除安全标志。
当然,攻击者也可以删除 HSTS header 。然而,HSTS 协议(protocol)的要点是,如果用户过去曾成功直接访问过您的网站,他们的浏览器将记住您的网站发送了 HSTS。如果他们稍后连接到您的网站并发现它没有使用 SSL 或浏览器无法验证证书,浏览器将抛出错误并拒绝继续。如果浏览器支持 HSTS 并将您的站点记录为需要 SSL,这将防止攻击者将您的站点降级为非 SSL。
维基百科有一个 fairly good discussion of this ,我认为这比 the RFC 中的讨论要清楚一些。 .
关于https - HSTS 与仅使用安全 cookie 的 https,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15489596/
24
4
0
我仅在 WIN7 PC 上收到此通知,仅使用 IE。 Firefox 总是很好,旧版 Windows 上的 IE 似乎也不错。这让我大吃一惊,我不知道为什么 IE 认为 SSL 证书有问题。有没有人以
概述 对于我产品的新版本 v1.9.0,我创建了一个新的 MSI 安装程序。该应用程序的先前版本是 v1.7.0。 卸载旧版本然后安装新版本工作正常。 但是当我尝试使用 v1.9.0 安装程序更新旧版
该网站有一个全高图像启动。更多内容位于首屏下方,图像底部有一个“滚动”元素,以提示用户发现其余内容。单击后,我成功地使网站向下滚动 300 像素。然而,我想顺利地做到这一点。这是我当前的代码: w
var i = 0; function Myfunc() { var newdiv = document.createElement('div'); var el = document
这纯粹是为了学习目的;我知道 CSS 将是这种情况下的首选方法。 我知道在 JavaScript 中,您可以使用内联事件处理将鼠标悬停在图像上,如下所示: 我知道您可以在您的站点中安装 jQuery
我只想从curl请求中获取 header curl -I www.google.com 一切都很棒。现在我想这样做,但也传递发布数据: curl -I -d'test=test' www.google
以下代码旨在更改一个字段的颜色: Untitled Document var bkColor =
我正在使用 grep 递归搜索目录,并使用以下参数希望只返回第一个匹配项。不幸的是,它返回了不止一个——事实上,我上次查看时返回了两个。似乎我有太多的争论,尤其是没有得到想要的结果。 :-/ # gr
我只想搜索当前目录中的所有文件。我试过这个 grep foo * 但我收到此错误 grep: bar: Is a directory 我也尝试过这个 grep -r foo 但这也在搜索子目录。 最佳
我正在构建一个销售点应用程序,我想打印一张收据。问题是我使用的打印机无法打印纯文本的任何图形,我在 javafx 中只能找到使用 Print API 打印节点或使用像 jasper 这样都包含图形的报
是否有任何操作系统在完全加载时仅提供用于控制台应用程序执行的 java 环境?理想情况下,它会在加载时自动启动程序 最佳答案 这是一个名称为:JavaOS 的东西 从我的角度来看,更好的方法是安装一个
在工作中,我们有一个每晚执行 mysql 数据转储的脚本。对于开发,我们通常需要使用来自最近转储的数据。一段时间以来,我们一直每天都进行数据库还原,但现在我们已经到了每天还原花费近一个小时的地步。有没
我的移动模式菜单有问题。 onClick 它淡出。我想保留此设置,但我不希望它在单击下拉部分时淡出。这是链接:http://jsfiddle.net/zLLzrs6b/3/感谢您的帮助! html:
经过大量研究和反复试验,我谦虚地向各位 CSS 专家寻求帮助。这就是我需要的: 我有两张图片:titlelogo 和 newlogo。 在全屏模式下,newlogo 需要在左边,titlelogo 在
这个问题在这里已经有了答案: Exclusive CSS selector (3 个答案) 关闭 3 年前。 我的文档结构如下: ... ... something something someth
我有一个具有以下要求的表: 所有列的宽度必须可变 所有列的宽度不得超过必要的宽度 所有单元格必须保留空白(white-space:pre/pre-wrap) 当(且仅当)超过最大定义宽度 (1000p
我正在寻找一个正则表达式来仅匹配具有特殊 字符且大小为4+ 的数字 字符串。我对此处发布的问题做了一些评论: 测试网站: http://regexlib.com/RETester.aspx 1- re
我正在为我的元素开发一个纯 CSS 灯箱解决方案。我用谷歌搜索了它,但到目前为止只找到了部分解决方案。 我正在寻找这些功能: 显示任意宽任意高的内容(无固定高/宽) 垂直居中和水平居中 如果内容宽度和
出于各种原因,我目前正在尝试使用 HTML/CSS 创建网格布局(我知道 Bootstrap 等,但在这种情况下没有选择,而且我无法添加标记元素)。 我有以下代码(容器 div,每次都有一个带有 ul
有没有办法使用String.format()格式化 double 以仅获取小数? System.out.println(String.format("%.2f", 1.23456d)); 正如预期的那
我是一名优秀的程序员,十分优秀!