HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。
当用户已经安全的登录开启过htst功能的网站 (支持hsts功能的站点会在响应头中插入:Strict-Transport-Security) 之后,支持htst的浏览器(比如chrome. firefox)会自动将这个域名加入到HSTS列表,下次即使用户使用http访问这个网站,支持htst功能的浏览器就会自动发送https请求(前提是用户没有清空缓存,如果清空了缓存第一次访问还是明文,后续浏览器接收到服务器响应头中的Strict-Transport-Security,就会把域名加入到hsts缓存中,然后才会在发送请求前将http内部转换成https),而不是先发送http,然后重定向到https,这样就能避免中途的302重定向URL被篡改。进一步提高通信的安全性。
HSTS preload list是什么?
HSTS preload list是Chrome浏览器中的HSTS预载入列表,在该列表中的网站,使用Chrome浏览器访问时,会自动转换成HTTPS。Firefox、Safari、Edge浏览器也会采用这个列表。
如何加入HSTS preload list?
加入HSTS preload list不但不麻烦,而且Chrome也鼓励HTTPS网站能够主动加入。申请的方法和需要满足的条件在https://hstspreload.appspot.com网站上都有具体说明。
我将加入HSTS preload list的条件摘录如下:
有效的证书(如果使用SHA-1证书,必须是2016年前就会过期的);
将所有HTTP流量重定向到HTTPS;
确保所有子域名启用HTTPS,特别是www子域名
同时输出的HSTS响应头部需要满足以下条件:
max-age至少需要18周,10886400秒
必须指定includeSubdomains参数
必须支持preload参数
Nginx配置:
HSTS preload list响应头:
在server模块中加入.
add_header Strict-Transport-Security “max-age=31536000; includeSubDomains;preload”;
新增一个server模块.
server
{
listen 80;
server_name suming.org www.suming.org;
rewrite ^/(.*) https://suming.org/$1 permanent;
}
达到以上条件之后前往:https://hstspreload.appspot.com 进行申请加入HSTS.(需反代访问)
最新评论
确实差距太大,不公太多。
还好吧 我现在已经搞定了~ 还是喜欢typecho的轻量~
请问你的热门文章,后面是带访问量的,请问是怎样实现的?你提供的插件没有这功能。谢谢!
现在是美好的2021年。
纠结这个2天了 试试看~
我也是从WP→Te→Hexo这样折腾,最后感觉还是静态博客比较适合自己,以后不折腾了,Hexo真香
这一年都挺不容易了,以后会庆幸当时挺下来的自己,加油!