问题标签 [hsts]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - 如何禁用 HTTP 严格传输安全性?
我有一个 Rails 应用程序config.force_ssl = true,但现在我不想要 SSL 加密,但我的应用程序仍在重定向到 https。我读到这是 Apache 上的 HTTP 严格传输安全问题。我怎样才能禁用它?
nginx - HSTS and Chrome
This is what Chrome shows when you go to https://struct.tumblr.com/. I then CNAME this to a subdomain like blog.mysite.com and i have HSTS on in my Nginx config like so:
I use a wildcard ssl cert for a multi-tennant site, and blog is cnamed to tumblr. So I think NGINX automagically redirects to https://blog.mysite.com and since that throws up Chrome 102 error, i can never see the blog through my cname in Chrome.
Can i tell nginx to somehow 'all subdomains but blog'?
Thanks
ssl - 无重定向的 HTTP 到 HTTPS (SSL)(Twitter 示例)
我正在尝试针对所有 HTTPS 优化我的网站。我知道 Twitter 都是 HTTPS,我注意到它们不会将 HTTP 重定向到 HTTPS,而是只是启动 HTTPS 连接。
这是谷歌浏览器网络活动的截图,注意没有重定向(301/302),HTTP 请求(第一行)只是挂起,第二行是 HTTPS 页面。请注意,我已经清除了所有浏览器缓存,因此 HTTP 严格传输安全 (HSTS) 无关紧要。
这是 HTTPS 页面的请求/响应的另一个屏幕截图。请注意,Twitter 似乎在 REQUEST 中插入了一些字段,例如 :scheme
他们如何做到这一点?我会假设它更快,因此如果用户在他们的浏览器中键入 twitter.com,而不是重定向(想想额外的网络往返),Twitter 似乎可以无缝地迁移到 SSL (HTTPS)。
接下来的问题是,这是否适用于所有浏览器?
performance - 所有资源的 HSTS 标头?或文件?
我是否必须为与我的文档一起加载的所有资源(样式表、脚本、图像)返回HTTP 严格传输安全标头?还是仅将它们包含在文档中就足够了?
安全提示应该按域应用,因此仅将其与文档一起发送就足以通知浏览器仅通过 HTTPS 获取资源?还是我误解了它应该如何工作?
任何只直接访问我网站资源的人都不是我想要专门迎合的受众。
security - 在不强制重定向到 HTTPS 的情况下启用 HSTS?
这似乎是一个愚蠢的问题,但我想知道:
- 不强制将用户重定向到 HTTPS的情况下如何部署 HSTS ?
- HTTP 内容如何仍然从与使用 HSTS 的域相同的域中提供?(整个网站或混合内容)
- 为什么会有人这样做?
我正在阅读EFF 网站,看来已经完成了:
我们最近为 eff.org 启用了 HSTS。设置时间不到一个小时,我们找到了一种无需强制将用户重定向到 HTTPS 的方法,因此我们可以明确表示对 HTTPS 访问的偏好,同时仍然使网站在 HTTP 中可用。它就像一个魅力,现在我们的很大一部分用户正在自动使用 HTTPS 访问我们的网站,甚至可能不知道它。
据我所知,HSTS 通过发送 HTTP 标头来工作:
因此,如果我访问https://example.net/上发送该标头的页面,则在接下来的 31536000 秒内,所有未来对域 example.net 的请求都将使用 HTTPS,如果(响应?)是 HTTP,那么浏览器将显示巨大的红色警告。
有人可以为我澄清一下吗?我对 HSTS 的理解是准确的还是我遗漏了什么?
node.js - 使用sails.js 修改响应头以实现HSTS
我正在使用sails.js实现一个nodejs 应用程序。我希望我的用户仅通过 https 进行通信。因此,为此我需要以我的方式配置我的服务器,以便在每个响应中添加一个标题“Strict-Transport-Security”、“max-age=31536000”来告诉浏览器仅与 HSTS 通信。现在我如何修改我将从sails js发送的每个响应头。我搜索了文档但没有找到任何帮助。
apache - 在 Apache 服务器上取消设置或过期 HSTS 策略
我在我的服务器上的 ssl vhost 中设置了这一行。我正在运行 Apache 2.x
这是一个重大错误,因为现在我想删除它并http有时迫使用户返回页面。它没有启用很长时间,但我不想失去任何人。如果我现在试图强迫用户返回 http 页面,他们最终会进入重定向循环。
如何使用服务器上的设置取消设置或过期 HSTS,以便当用户访问该站点并点击该https站点的版本时,从浏览器中删除 Strict-Transport-Security 设置并且能够将它们重定向到http?
我已经知道我犯了一个愚蠢的错误。我吸取了教训,现在只需要清理它。
googlebot - HSTS 阻止 googlebot
除了谷歌索引自实施以来已停止。有人有解决方法吗?
java - 将 HSTS 功能添加到 Tomcat
相信你们都很好。
我的 Web 应用程序在 tomcat 6.0.43 上运行,并且不要在前面使用 apache 或 nginx。
我已经使用以下命令强制我的网络从 http 重定向到 https:
- URL 重定向在 ../webapps/ROOT/index.jsp
<% response.sendRedirect("https://www.epi.com.my/portal/"); %>
- ../webapps/myapp/WEB-INF/web.xml
下面在哪里添加这样的代码
标头添加 Strict-Transport-Security "max-age=15768000"
或者是tomcat没有这个功能吗?或者我需要在我的每个 java web 应用程序控制器中进行修改。
actionscript-3 - 有没有办法确定一个站点是否在 AS3 中启用了 HSTS?
当用户访问启用了 HSTS 的网页时,浏览器会检测到这一点,并会记住在将来使用 HTTPS 来请求该站点。有没有办法在 AS3 中请求页面并确定返回的页面是否启用了 HSTS(直接通过 SWF 中的 AS3 或使用 ExternalInterface)?