zoukankan      html  css  js  c++  java
  • 关于HSTS

    HSTS(HTTP Strict Transport Security)

    当用户在浏览器中输入一个域名,如果没有注明前缀(也就是没输入"http"的时候)的时候,浏览器会默认按照http协议,访问80端口,这时候,服务端可能返回跳转让浏览器跳到https,HSTS可以让浏览器记住指定域名是要用https访问的.

    当用户下次访问这个域名,不管使用什么标注,都强行跳到https.

    作用:

    该功能可以阻止SSL剥离攻击,大多数时候用户进入一个网站是通过点击别的网页跳入,如果别的网页写的地址是http的,并且用户网络处于被监听的情况,则有可能SSL会被剥离.用户访问的是http链接,http的数据是明文传输,安全性低,有可能出现这些情况:

    1:由于网络被监听,监听方可能会在网页中插入广告,或者改变网页内容

    2:在传输过程中数据被窃取.

    如果开启了HSTS功能,只要浏览器与该域名的真正服务端连接过一次,以后尝试连接该域名都会强制https.很大程度上防止了SSL剥离攻击.

    然而有个不足之处是:浏览器第一次访问某网站是没有HSTS保护的,因为还没收到HSTS,部分浏览器为了解决这个会自带一些域名的HSTS,比如:chrome

    chrome如何删除HSTS信息?

    这样操作:

    1:浏览器访问chrome://net-internals/#hsts

    会显示HSTS管理界面,

    2:中间是删除,在中间输入要删除HSTS的域名,点"Delete"即可删除

     

    3:下面是查询,输入域名点"Query"即可查询

    删除了HSTS可通过这个验证

    我发现google自己的域名似乎删不掉~

  • 相关阅读:
    有关敏捷(1)
    有关创业的想法
    2010必须做到的事
    技术搜索还是谷歌强
    错误处理的一些想法
    定期自动删除数据
    ip
    asp.ent Repeter实现分页
    QQ客服在线聊天
    几种文件上传的方法
  • 原文地址:https://www.cnblogs.com/DragonStart/p/7630533.html
Copyright © 2011-2022 走看看