问题标签 [hsts]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
hsts - 为什么我的网站被认为是“响应中没有 HSTS 标头”
google-chrome - 如何从 Google Chrome 的 HSTS 列表中永久排除本地主机
这是Google Chrome 将 localhost 重定向到 https的后续问题。
有谁知道,如何localhost
从谷歌浏览器的 HSTS 列表中永久排除?
或者,在从 HTTPS 项目切换到 HTTP 上的不同项目时,不需要开发人员每次都访问chrome://net-internals/#hsts
和删除的任何其他优雅的解决方案?localhost
weblogic - 我们如何在 weblogic 服务器中启用 HSTS(HTTP Strict-Transport-Security)
我想为我的网站将 http 请求转换为 https。我已经获得了 SSL 证书,但可能会绕过我的应用程序启用的加密,并且在获得证书后,我的应用程序无法阻止通过不安全的连接进行访问
apache - Strict-Transport-Security 对重定向到 https 的 http 反向代理的影响
服务器响应带有 HSTS 标头,并且由于我使用的是反向代理 HSTS 标头也通过代理响应发送。由于存在不同的域(代理和服务器),HSTS 是否会使浏览器自动将架构从http://proxyhost.com更改为https://proxyhost.com?或者当用户请求http://proxyhost.com时,预加载列表会自动调用https://serverhost.com?
google-chrome - 如何清除 Chrome HSTS-Cache?
Bg:我最近正在开发一个主机管理工具,我想实现这样一个功能:通过点击一个btn自动删除chrome-browser的HSTS缓存。我运行python 脚本来删除 chrome 的 HSTS-cache 文件。但是......在我完成删除该文件后,我必须重新启动 chrome,然后这个清除操作才有效。(也许 chrome 读取文件并将其存储在缓存中?)
问题:那么有一些方法可以清除 hsts-auto 吗?不需要打开 chrome://net-internals/#hsts ,或者使用我的方法不需要重启 chrome-browser ?
谢啦~
google-app-engine - 在 app.yaml (Google App Engine) 中添加 HSTS 标头
我的 中有以下处理程序部分app.yaml
:
由另一个子模块 ( static.yaml
) 提供服务的另一个子域具有以下内容:
我能够static.yaml
毫无问题地部署到 appengine:
而当我尝试更新app.yaml
配置时,我得到:
我知道这意味着我必须在我的 python 脚本本身中处理 HSTS 配置。但是,我在main.app
界面中有大约 10 个处理程序。除了更新每一个来添加 STS 标头之外,是否有一些替代方法可以在app.yaml
级别本身这样做?
检查app.yaml
GAE 上的参考,没有提到类型映射中http_header
指令的限制。script
security - 为什么 RFC 6797 禁止通过纯 HTTP 响应发送 Strict-Transport-Security 标头?
在阅读 HSTS (Strict-Transport-Security) 的规范时,我在第 7.2 节中看到禁止通过 http 而不是 https 访问时发送标头的禁令:
HSTS 主机不得在通过非安全传输传送的 HTTP 响应中包含 STS 头字段。
为什么是这样?如果违反,会有什么风险?
spring-security - 删除 Spring oauth2 令牌 API 中的 HTTP 严格传输安全 (HSTS) 响应标头
我在我的 API 项目中使用 Spring Security 和 Spring Oauth2 和 JWT
为了登录 Spring oauth 2 提供的默认 API 是 /oauth/token
此 API 始终在响应中添加“Strict-Transport-Security: max-age=31536000 ; includeSubDomains”标头。但我不希望在我的情况下出现这种情况。我已经用下面的源代码删除了 HSTS。
使用上面的代码,我定义的 API 在标头中删除了 HSTS。但默认 API /oauth/token 仍然在标头中返回 HSTS。有没有办法做到这一点?请帮忙。
谢谢,锡
firefox - 向发送 HSTS 标头的无效 SSL 证书网站添加例外
访问未正确配置的网站发送 HSTS 标头时,firefox 无法添加证书异常;这会使开发人员的生活变得一团糟,因为您并不总是可以选择需要在哪里开发/进行更改。
.htaccess - hsts, 301s http www 到 https:// 规范 htaccess
评论1:我是stackoverflow的新手,我不是真正的程序员,所以如果我做错了请原谅我。(我现在大喊“该死的吉姆,我是医生而不是程序员!”)
评论 2:我试图做我的功课,但就我不是程序员而言,我在弄清楚我的问题的确切答案时遇到了一些麻烦。如果我错过了什么,请告诉我,希望这不会浪费任何人的时间。
最终目标是加快和保护我的网站。它应该全部通过https。
我注意到,如果我直接在测试仪中输入“https://”,我的(wordpress)网站速度测试要快得多(加载时间=1-2s vs 5-8s)。瀑布表明需要很长时间才能将 http 重定向到 https(这是有道理的,因为目前我的 .htaccess 中根本没有列出重定向......我很惊讶它并没有完全失败)。
我希望通过在 .htaccess 中提供重定向,我的网站速度将更接近直接输入“https://”时看到的速度。
这一切都促使我调查 .htaccess 中的 HSTS 和 301 重定向。似乎有很多不同的方式来做这些重定向,我不确定有什么区别。
例如,这是不是更好:
还是这个(由我的托管服务提供商推荐)?
然后我在 varvy 上找到了 .htaccess 的代码https://varvy.com/pagespeed/hsts.html
。
我想添加到 .htaccess
(现在不是预加载)但我不确定是否应该将其插入重定向上方或下方。
我应该使用它env=https
来防止任何通过 http 发送 HSTS 的尝试吗?
更复杂的是,这篇文章似乎表明我应该有多个重定向,以使整个事情在所有情况下都能正常工作。这篇文章对我来说很有意义,他提出的重定向方案也是如此:
http://example.com → https://example.com*
http://www.example.com → https://www.example.com* → https://example.com*
https://www .example.com → https://example.com*
但是我不确定如何在实际的 .htaccess 中实现类似的东西,而且我对盲目地尝试东西有点紧张。
最后,我的各种 wordpress 插件在 .htaccess 文件中添加了一堆缓存/安全内容。重定向是高于还是低于所有这些?
我的规范(和 ssl 证书)位于https://example.com
,所以我希望所有重定向都结束(但保留请求的剩余部分),所以 example.com/page1 应该转到https://example.com/page1