2

目前正在设置新的个人服务器。我一直在阅读有关 HSTS(感谢 EFF!),以及在 Nginx 上实施的步骤(例如:here)。

我没有清楚说明的是如何处理初始重定向。我是否在端口 80 提供一些静态错误内容,重定向到 HTTPS 上的实际站点?

到目前为止,我读到的很多内容都表明,从 HTTP 提供服务会使您的网站容易受到MITM 攻击。其他人似乎建议,只要您在实例化的任何 cookie 上设置了 Secure 标志,就可以了。当然,我是平民,我不在预加载的 HSTS 站点列表中,所以已经出局了。

这是怎么回事?我应该为网站访问者提供服务并重定向端口 80,还是让他们受到攻击?

全面披露:非运营业务,以及提供的非安全内容,只是一个有学习机会的饥饿头脑。

4

1 回答 1

2

在您的站点的 80 端口上,您只需响应301 响应代码,将用户重定向到您的 HTTPS 站点的 443 端口。然后安全站点发送"Strict-Transport-Security"标头。

这仍然会使您的用户在他们第一次访问您的网站时容易受到中间人攻击。您只能通过将您的网站放在预加载的 HSTS 列表中来缓解这种情况。

不要从不安全的站点设置任何 cookie,并且在从安全站点设置 cookie 时始终使用安全标志。

于 2015-10-21T16:20:07.510 回答