HSTS SSL Protocol

HSTS SSL Protocol

两年前我发布了关于 Nginx 配置加入 HSTS 相关文章,也一直没实行加入 HSTS 预加载列表,今天闲的没事干给网站做各种测试,发现用360浏览器测试网站强制访问 http 时发现右下角有广告出现,很明显 http 已经被劫持而 https 没有被劫持,但是其它浏览器强制访问 http 却没有被劫持,直接申请加入 HSTS 移除后患。 在这里说一句:360 垃圾! 采...

Nginx启用新型HSTS安全协议

Nginx启用新型HSTS安全协议

HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。 当用户已经安全的登录开启过htst功能的网站 (支持hsts功能的站点会在响应头中插入:Strict-Transport-Security) 之后,支持htst的浏览器(比如chrome. firefox)会自动将这个域名加入到HSTS列表,下次即使用户使用ht...