问题标签 [hsts]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
apache - 使用 htaccess 或 httpd.conf 将 hsts 标头放入 apache
我最近购买了一个 ssl 证书,并以安全的 https 方式重定向了我的所有流量,但我想包含在 hsts 预加载列表中。出于这个原因,我想包含 hsts 标头。有没有使用 .htaccess 或 httpd.conf 的方法,或者如果有其他方法,请详细告诉我
hsts - 是否值得将 CSP 标头与 HSTS 标头进行比较?
我正在开发一个将 HSTS 标头添加到 Web 应用程序的项目。
作为为此的准备工作,我仅使用 default-src https 指令在报告模式下添加了 CSP 标头。目的是评估违规行为并决定添加 HSTS 标头是否会破坏任何用例。
问题:
- 这是一个有价值的方法吗?
- 使用这种方法,我们会错过哪些 HSTS 场景?
- 如果它们与我上面描述的不同,推荐的方法是什么?
security - 如何处理 HSTS 的端口重定向
目前正在设置新的个人服务器。我一直在阅读有关 HSTS(感谢 EFF!),以及在 Nginx 上实施的步骤(例如:here)。
我没有清楚说明的是如何处理初始重定向。我是否在端口 80 提供一些静态错误内容,重定向到 HTTPS 上的实际站点?
到目前为止,我读到的很多内容都表明,从 HTTP 提供服务会使您的网站容易受到MITM 攻击。其他人似乎建议,只要您在实例化的任何 cookie 上设置了 Secure 标志,就可以了。当然,我是平民,我不在预加载的 HSTS 站点列表中,所以已经出局了。
这是怎么回事?我应该为网站访问者提供服务并重定向端口 80,还是让他们受到攻击?
全面披露:非运营业务,以及提供的非安全内容,只是一个有学习机会的饥饿头脑。
internet-explorer - 如果浏览器支持并且可以用于子域,则在 IE 中删除 HSTS 以测试重定向到 https
情况
是否需要将站点转移到 https 但不是那么重要的子域不支持 https。在打开主页时在受支持的域上添加此标头已成为功能,并且已在 Opera、Chrome 和 FireFox 中进行了测试和工作。但像往常一样 - 也需要在 IE 上进行测试。
问题
我还没有找到在浏览器上删除该站点的 Secure-Transport-Security 标头以便能够对其进行测试的解决方案。
问题
如何在 IE 中删除已保存的 Strict-Transport-Security 标头,如 Chrome 中的“chrome:net-intenrals/#hsts”以测试此自动重定向?
internet-explorer-11 - 从 Internet Explorer 中的 HSTS 列表中删除条目
我在这个问题上挣扎了一段时间,似乎没有找到任何答案。
您知道是否有任何方法可以从 Internet Explorer 11 的 HSTS 列表中删除条目?
我正在寻找与 chrome 的“chrome://net-internals/#hsts”类似的东西。
谢谢。
c# - 实施 HSTS 时出现 SSL 错误
我正在尝试在我的网站(例如 www.example.com)上实现 HSTS,该网站最近已从 http 移至 https,并且位于默认端口。而且我有一个 WCF 服务运行在同一个域但不同的端口(例如 www.example.com:8000)。
我尝试做的是在 Web.config 文件中添加以下代码
然后后来我从这里尝试了这段代码(因为上面的实现是不正确的)
我在 www.example.com 的网站运行良好。但是,一旦我访问 www.example.com,响应标头 Strict-Transport-Security 就会被缓存,然后尝试访问 WCF 服务页面重定向到 https 导致“SSL 错误”,因为该服务在 8000 端口上运行。
注意:清除缓存并访问相同的服务页面会显示该页面。
如何停止将端口 8000 上的调用重定向到 https?
google-chrome - Non-Authoritative-Reason header field [HTTP]
I'm having difficulty finding out what it means when I have the response header Non-Authoritative-Reason : HSTS
I have searched a lot but just came up with some explanations about HSTS (redirection from HTTP to HTTPS). Can anyone help me with that? By the way I'm using Chrome.
Thanks
javascript - HSTS 和使用 Javascript 访问子域
几周前,我将主页移至仅 https 并启用了 HSTS。在一个页面上,我有一些 JavaScript 代码通过 http 请求从子域获取其内容。在启用 https 之前,它运行良好。我还在javascript代码中将http协议更改为https。但这不是解决方案。
HTTPS 是限制对子域的访问还是 HSTS?
有没有办法允许访问子域?
这是 JavaScript 代码:
这是 HSTS 标头:
asp.net - 在重定向到 web.config 中的 www 子域期间在域根目录上添加 HSTS http 标头
我有一个 asp.net 网络应用程序,它被子域“www”上的搜索引擎索引。我真的不想改变这一点:对根域的请求都设置了永久重定向到 www 版本,这一切都很好。
我已经在网站上启用了 HSTS,但是由于重定向,我添加的 HSTS 出站标头规则永远不会在对域根目录的第一个请求中被命中。(它适用于后续的 https 请求,因为没有重定向)。这是一个问题,因为我想提交站点以进行 HSTS 预加载 - 这要求重定向包含 HSTS 响应标头...。
我尝试将规则上的 stopProcessing 属性设置为 false(希望设置 HSTS 标头的出站规则即使在重定向时也会运行)无济于事。
以下是我的配置文件中的相关摘录:
http - HSTS 是否将所有资源升级到 HTTPS 而与域无关
我正在将HTTP 严格传输安全标头添加到网站。
它是否会阻止通过 HTTP 加载不在同一域中的资源?