问题标签 [hsts]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
apache - 设置并检查 STS Header 是否存在
我已经(希望)设置 apache 为所有 HTTPS 流量发出 STS 标头,如如何仅在 HTTPS 上从 .htaccess 设置 HSTS 标头中所述
我希望能够通过查看 chrome 开发工具中的响应标头来验证这是否有效,但其中似乎没有任何相关内容:
有没有办法检查它是否正常运行?非常感谢任何帮助。
php - Chrome 突然请求 HTTPS,我无法登录管理区域
我最近将一个 wordpress 网站从一个 hostgator 帐户转移到另一个帐户。它现在是一个插件域。在过去的几天里,一切正常。
然后,当我尝试访问我的管理区域时,Chrome 突然开始给我这个错误:
继续进行也没有帮助,因为我没有 SSL,所以它返回 404。
事实上,无论我玩什么 URL hijink,只要我访问管理区域,它都会尝试使用 HTTPS。
这仅在 Chrome 上。Chrome 似乎正在请求一个 HTTPS 地址。我试过注释掉 wp-login.php 中的所有 https 代码,但没有骰子。
我试过卸载 Chrome、清除 cookie 等。不好。
我无计可施。
编辑:我尝试禁用每个插件(通过 cPanel)并将其缩小到 WooCommerce?我已经用了好多年了...
spring - Spring HTTP 严格传输安全 (HSTS) 和 FireFox
spring security (4.0.1.Release) 默认为 https 协议设置 HSTS 主机,您可以Strict-Transport-Security: max-age=31536000 ;在响应标头中看到(我使用 Firefox>Web Development>Network )。
但是当我查看 firefox 控制台时,我看到一个错误,上面写着:The site specified an invalid Strict-Transport-Security header.
我还在 spring config 中手动将 hsts 标头设置为:
生成相同的响应标头,FireFox 再次显示错误。
根据https://developer.mozilla.org/docs/Security/HTTP_Strict_Transport_Security标头必须正确!
任何意见 ?!
jmeter - 如何使用 JMeter 处理严格传输安全 (HSTS)
我正在尝试记录使用 HTTP 严格传输安全 (HSTS) 的网站的流量。因此,无法为证书添加例外。这意味着我无法录制会话。
有人知道我该如何处理吗?
asp.net-mvc - 当同时使用 NWebSec.Mvc 和 NWebSec.OWIN 时,我需要在 2 个地方配置安全性吗?
我有一个使用 ASP.NET Identity v2 的 ASP.NET MVC 5 站点。我正在尝试使用NWebSec来“强化”它。
因为该站点使用 MVC 和 Owin,所以我安装了 NWebSec.MVC 和 NWebSec.OWIN NuGet 包。
阅读文档,可以通过配置文件为 NWebSec/MVC 设置许多选项,并且可以通过 Startup.cs 文件在代码中为 NWebSec.OWIN 设置一些相同的选项。
例如,要添加 HSTS,我可以在 web.config 中执行以下操作:
...和/或 startup.cs 中的以下内容:
我的问题是:我必须在两个地方设置所有选项 - 还是只在一个地方(在这种情况下,哪个更好)?
我更喜欢在 web.config 文件中进行所有配置,但我不确定这是否会遗漏一些需要在 Startup.cs 文件中设置的东西。
youtube - 浏览器证书不适用于谷歌和其他一些网站
我无法在浏览器中打开 Google、Youtube 和其他网站。它显示证书身份验证错误。
我将其更改为受信任的网站。现在它显示如下:
我不知道该怎么做。我无法谷歌。
其他网站,如 facebook、yahoo 和 Gmail,可以在浏览器中正确加载。
这是谷歌浏览器中的消息:
单击高级时我在 chrome 中收到的消息:
这是谷歌服务器的问题,介于两者之间还是客户端浏览器?是否有解决此错误的方法?
http - 如何为带有 http 和 https 的混合网站添加 hst?
使用的网络服务器是 nginx 假设我有一个网站http://www.test.com。然后是https://test.com?market。我将所有 https 重定向到 test.com 的 301 http 假设我想为 url 启用 https 严格传输安全标头。我可以在 nginx 中轻松添加它。但问题是测试也通过浏览器移动到https(这是一个307重定向)并且从服务器再次重定向到导致测试的无限循环,
django - Apache/mod_wsgi 和 Django 上的 HTTPS 和 HSTS
我正在为我的 Django 1.8 项目设置站点范围的 HTTPS。我在网络安全方面没有经验。
我正在设置 HTTP 到 HTTPS 重定向和 HSTS。
现在,我正在我的 Apache/mod_wsgi Web 服务器上配置它(我使用的是 PaaS,所以我通过 WSGI 根目录上的 .htaccess 文件来配置它):
wsgi/.htaccess
根据 Django 官方文档 SSL建议,我在生产设置中保护 cookie:
设置/prod.py
注意:我还没有设置SECURE_PROXY_SSL_HEADER = (“HTTP_X_FORWARDED_PROTO”, “https”),因为我还不确定 PaaS 是否正在代理和剥离代理和 Web 容器之间的此标头。
Django(从 1.8 开始)现在带有它的安全中间件(来自旧的 django-secure),它实现 SSL 重定向,并处理 HSTS 标头和其他好东西。
我应该让 Django 处理所有 HTTPS 重定向/HSTS 配置,还是在 Web 服务器级别进行?每个选择的安全/性能影响是什么?
阅读/使用的参考文献:
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
https://garron.net/crypto/hsts/hsts-2013.pdf
https://mozilla.github.io/server-side-tls/ssl-config-generator/
http://www.marinamele.com/2014/09/security-on-django-app-https-everywhere.html
https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html
iis-7 - 如何使用 .NET Framework 4.0 在 IIS7 上启用 HSTS
当我尝试在我的web.config文件中使用此配置时:
浏览网络应用程序时出现此错误:
HTTP 错误 500.19 - 内部服务器错误 无法访问请求的页面,因为该页面的相关配置数据无效。
我该如何解决?
security - 保护第一个 HTTP 请求
我正在构建网站,想知道如果第一个请求是由 HTTP 发出的,我如何确保它是安全的。HSTS 做到了这一点,但只是部分做到了。
我认为不打开 HTTP 端口可以解决这个问题。但这是标准吗?我的网站是 B to B,所以 SEO 不是问题。用户直接访问我的地址,但假设可以使用 HTTP。任何的想法?