问题标签 [hsts]

我有一个 sdk，想同时支持 http 和 https，但浏览器总是强制使用 https。我知道这是浏览器的好功能，但许多使用 http 的网站无法使用我的 sdk。

有谁知道我可以如何预防 HSTS 或解决方案？

我正在写一个 Firefox 插件！我想知道网站是否使用 hsts，所以我从https://dxr.mozilla.org/comm-central/source/mozilla/security/manager/ssl/nsISiteSecurityService.idl调用函数 isSecureURI()但是，总是，当我检查它返回结果为假！

这是我的代码

非常感谢您的宝贵时间！

ps对不起我的英语！

我在我的网站的 .htaccess 中插入了以下内容，以便加入HSTS 预加载列表：

问题是当我提交我的网站时，我获得：

警告：HTTP 上不必要的 HSTS 标头。http://fabriziorocca.it 处的 HTTP 页面发送一个 HSTS 标头。这对 HTTP 没有影响，应该被删除。

目前，我在 .htaccess 中使用以下内容从 http 切换到 https：

我该如何解决这个问题？

先感谢您。

I'm writing a Chrome packaged app for diagnosing web services. I want to be able to send a GET request to a URL and look at the headers and data in the response.

My problem is if a users visits a site that has the HSTS header set before using my app, my app will then be unable send GET requests to the http:// URLs for that domain because Chrome will automatically convert the http:// URLs to https:// ones before the request is sent out.

Is there anything at all I can do to prevent this? I've looked into the webrequest API and webview tag but I'm finding nothing that lets me ignore HSTS.

Is it possible to use https://developer.chrome.com/apps/sockets_tcp for this (I would need to be able to support http, https and gzipped data)?

AFAIK HSTS is a server side property that tells the browser that is should only work with https request with this server (correct me please if I'm wrong).

HSTS will not help in cases of redirecting from http to https, in this time frame of redirection MIM attack can happen, unless you site listed on the browser HSTS list.

If I have a server that only get requests from libcurl do I need to support HSTS? Will it have any meaning? Does libcurl also supports HSTS and will works only with https sites after receiving this param from the server?

由于 HSTS 要求，从 Appengine Java 提供的静态文件必须仅通过 HTTPS 提供（即，从 HTTP 重定向到 HTTPS）。

HTTPS 仅在web.xml 描述符中是可能的，但appengine-web.xml不支持它。有什么办法吗？

我已经接管了一个以前使用 HSTS 的站点，但是由于我需要嵌入一些 iframe，我需要禁用它。我能够智能地从一种协议重定向到另一种协议，但 Safari 尤其不想忽视其 HSTS 缓存。

在这个问题（Is it possible to ask your users to clear their HTTP Strict Transport Security (HSTS) for your site?）和其他网站上，我看到我可以通过发送请求浏览器从他们的 HSTS 缓存中删除我的网站以下标题：

但是，Safari 似乎并不关心这一点。在同事的计算机上，该站点在其 HSTS 缓存中，接收该标头不会阻止它自动重定向到 https。

有人知道告诉 Safari 忽略 HSTS 的方法吗？

我希望所有客户端都能够访问我的服务器，无论它们有多旧或未打补丁。

这意味着我需要支持旧版本的 SSL。我希望这些用户访问我网站上的销售和营销材料，但是，我不希望这些版本用于特殊页面。

此配置是必要的，因为我想支持 HSTS，但客户端不会有条件地尊重基于 TLS 版本或密码的 HSTS 标头。

这意味着负载均衡器（Netscaler 等效）需要根据密码或协议版本进行重定向。

如何确保流量管理器（或 Azure 的任何其他相关方面）满足此需求

我的 Apache https 服务器已返回以下标头作为对https://lab20.example.com请求的响应：

公钥引脚：pin-sha256="klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY="; pin-sha256="633lt352PKRXbOwf4xSEa1M517scpD3l5f79xMD9r9Q="; 最大年龄=2592000；包括子域

这些针脚无效 - 但谷歌浏览器 52 仍然允许连接到我的实验室。看起来 HPKP 不起作用。我还测试过：chrome://net-internals/#hsts - 在查询 lab20.example.com 之后，我确实看到了 HSTS（确认工作正常）但没有看到 HPKP - 我没有看到任何 dynamic_spki_hashes。为什么 ？

我是否需要激活 chrome 中的某些内容才能理解和处理 HPKP 标头？

谢谢，

我想通过 HSTS Preload 的所有测试。

我目前有 2 个错误，我需要解决：

第一的：

我的 htaccess 看起来像这样：

第二：

我的 htaccess 看起来像这样：

我缺少什么以及如何通过测试？

我使用这个测试站点；https://hstspreload.appspot.com/