我正在尝试在我的 IIS 服务器上实现“Public-Key-Pinning”,但即使我输入了错误的哈希,该页面仍然可以访问而没有任何错误(在 google chrome 上测试)
标题如下
Public-Key-Pins:
max-age=90;
pin-sha256="[Hash]"
我知道将“max-age”值设为 90 毫无意义,但我只是在测试标题行为。
我使用https://report-uri.io/home/pkp_hash生成我的哈希并使用根证书颁发机构
在这里,我如何尝试使那些使用无效密码的人无法访问我的网站
- 将标头配置为 90 秒的“Max-age”
- 在谷歌浏览器中导航到网站
- 修改表头的pin-sha256放一个无效(替换一个字母)
- 关闭谷歌浏览器
- 导航回我的网站
我虽然会遇到“无效的 pin 错误”(我在 90 秒内完成了),但什么也没发生
我究竟做错了什么?