- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在开发一个将 HSTS header 添加到 Web 应用程序的项目。
作为准备工作,我仅使用 default-src https 指令在报告模式下添加了 CSP header 。目的是评估违规情况并决定添加 HSTS header 是否会破坏任何用例。
问题:
最佳答案
如果你只在你的服务器上使用 https,我会认为这是很明显的。你有设置https吗?您是否设置了重定向以强制将所有 http 请求重定向到https?这些问题应该很容易通过查看您的服务器配置来回答,我认为您不需要 CSP 来回答它们。如果两者的答案都不是"is",那么您为什么要考虑 HSTS?
CSP 支持不是普遍的(尽管诚然 HSTS 也不是),并且对于这些东西,通常是较旧的、不太常见的浏览器会崩溃,因为您可能会测试常见的浏览器,以确定您的方法是否会给您信心你需要继续是有争议的。
您应该注意的一件事是您是否正在使用 includeSubDomains 标志。如果它影响的服务器数量超过您的预期,这可能会导致问题,但 CSP 无济于事,因为您可能只会在您认为会受到影响的服务器上设置 CSP。更多信息在这里:https://serverfault.com/questions/665234/problems-using-hsts-header-at-top-level-domain-with-includesubdomains .
另请注意,一旦实现了 HSTS,就无法再在浏览器中绕过证书错误。并不是说你应该这样做,而是说这个标志的另一种故意影响并不是每个人都知道。
请注意,解决 HSTS 问题的唯一方法(例如,如果你发现你毕竟需要 http),除了删除 header 并等待策略过期之外,是将最大年龄设置回零并希望人们使用 https 访问您的站点以获取此新的 HSTS 策略并覆盖之前的策略。使用 Chrome 可以手动查看和删除该政策,但如果您有大量访问者并且不知道除了完全重新安装之外还有其他浏览器可以执行此操作的任何方法,那么这是不切实际的。
最好的方法是充分了解 HSTS 是什么以及上述注意事项,然后从较低的到期时间开始,并在没有遇到任何问题的情况下慢慢建立它。
还有预加载列表,但在您运行它至少 6 个月没有任何问题之前,我会远离它。
关于hsts - 是否值得将 CSP header 与 HSTS header 进行比较?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32851315/
我正在转换为 IE6 设计的旧系统以在现代浏览器上运行。 网站中那些还没有被转换的部分,只能在 Internet Explorer 上运行,IE6 仿真是通过下面的标签提供的。 我计划将 HSTS
我正在开发一个将 HSTS header 添加到 Web 应用程序的项目。 作为准备工作,我仅使用 default-src https 指令在报告模式下添加了 CSP header 。目的是评估违规情
https://hstspreload.org/建议应该有 2 个重定向: http://yourdomain.com至 https://yourdomain.com https://yourdoma
我正在使用一个称为“GoAgent CA”的假根CA通过代理访问许多https网站。 最近,我的Mac上的所有浏览器都显示HSTS failure和“证书有问题”。 我知道自己有患MITM的危险。但是
我在这里测试我的网站https://hstspreload.org我得到了这个错误: Error: HTTP redirects to www first http://example (HTTP)
我知道如果我的网站在预加载列表中注册,hsts(http 到 https)将从第一次开始工作。 另一方面,我还在我的 Web 服务器的 hsts header 中声明预加载。 如果我第一次使用 htt
我对 curl 完全陌生,正在尝试确定网站是否使用 Strict-Transport-Security。 我正在逃避建议。我被告知要检查 Chrome's preloaded list并运行 curl
在 ASP.NET Core 2.2 应用程序中,我们使用 app.UseHsts(); 启用了 HSTS,它在响应 header 中添加了 max-age 为 30 天的 HSTS。 在 fiddl
如果我正在运行仅 HTTPS 服务,是否有任何理由不启用 HSTS?是否有在不永久启用 HSTS 的情况下测试 HSTS 的策略或“退出”HSTS 的方法? 最佳答案 我想在 Mike 的回答中添加警
我有一个网站(来自 godaddy 的域并托管在 hostgator 中)。当我手动更新证书时,我可以将我的网站重定向到 https,但它总是从谷歌搜索转到 http。在线搜索后,我了解到 Consi
我在 /etc/nginx/sites-available/default 中有这个配置 server { listen 443 ssl; # managed by Certbot ...
我们在 Amazon ec2 上有一个服务器以满足开发人员的需要,我们有一个在 docker 容器下运行的网站。用于现场测试新功能一切正常,但昨天我大约 70% 的同事无法访问这个开发站点。发生 SS
我最近开始在我的一个网站上提供“strict-transport-security” header 。我没有预料到的一个问题是我的 SSL 证书只涵盖 mydomain.com,因此如果用户访问 ww
问题几乎就在标题本身。如果我有一个应用程序并为 HSTS header 使用 includeSubdomains 但根本没有子域,这是好还是坏? 最佳答案 很好。 如果您计划将网站提交给 Google
所以,大约一年前,我在我的网站上设置了 HSTS 并将其提交到 Google 的预加载列表。现在,我遇到了一个问题,因为我将我的 sendgrid 链接跟踪标记为白色,它依赖于我网站子域的 cname
1、TLS 1.0 已启用 描述: 此 Web 服务器支持通过 TLS 1.0 加密。TLS 1.0 不被认为是“强密码术”。根据 PCI 数据安全标准 3.2(.1) 的定义和要求,在保护从网站
我有以下设置: 申请https://app.domain.de是我们的生产环境,自动转发使用HTTPS。这里一切正常。最重要的是,我们的 QA 团队有多个开发版本的应用程序,可通过 http://de
我正在尝试在我的 Spring Boot 应用程序中启用 HSTS。我已将以下内容添加到我的 WebSecurityConfig (基于 Enable HTTP Strict Transport Se
我正在尝试记录使用 HTTP 严格传输安全 (HSTS) 的网站的流量。因此,无法为证书添加异常(exception)。这意味着我无法录制 session 。 有谁知道我该如何处理? 最佳答案 使用
最近,我为我的站点切换了服务器,我设法丢失了解密的 SSL key ,而且我不记得加密的密码。结果是服务器开启了 HSTS,现在很多访问者无法加载页面,因为我没有有效的 SSL 证书,并且他们的浏览器
我是一名优秀的程序员,十分优秀!