max-age:HSTS功能生效的时间,以秒为单位,也就是说在这段时间内,浏览器会一直强制使用HTTPS访问对应的URL
: 如果指定,则表示每个子域名(eg: 或 )对应域名(eg: ),浏览器在访问时也会强制使用HTTPS
:如果指定,则表示该域名同意申请加入该申请地址发起的List。
一个例子如下:
2、实现
上面的描述可能不是很好理解,所以我们举一个实际的例子来说明:
1) 只有 max-age 参数时,设置时间为 300 秒
效果是:在这300秒内,只要用户在浏览器中输入zzx1…..club/123.gif,浏览器就会自动强制使用….club/123.访问的 gif
(注意:这里设置的时间不宜过长,一般建议为6个月。
如果设置的时间很长,并且域名一天不再使用https,而且时间还没有过期,会导致用户无法访问)
抓包的时候可能会发现有一个307状态码,和上面的301/302状态码不同。它不是由服务器返回,而是由浏览器在本地自动生成的,即本地自动发生对浏览器的http。无需与网站服务器进行任何交互即可跳转到 https。
在响应头:Non--:HSTS中,也说明了从http到https的跳转发生在浏览器本地,因为HSTS的功能。
2)有参数时
作用是告诉浏览器,当用户访问该域名的每个子域时(例如:)(例如:或),浏览器也必须强制HTTPS进行访问。
注:如前所述,此参数影响范围较大。如果部分子域没有开启https,会无法访问,请谨慎添加!
例如:域名 zzx.....club 响应头中添加:
子域….club没有设置HSTS响应头,但是当用户访问子域….club/123.gif时,浏览器也会强制使用….club/123. gif访问,如下图
3)有参数时
该参数表示:该域名同意加入应用地址发起的List。
我们先来说说这个列表是干什么用的:
HSTS的响应头是服务器返回的,所以用户需要先发起访问,然后才能获取到这个响应头,然后浏览器才能根据这个响应头进行相应的强制https访问操作。
但是,当用户第一次发起访问时,在浏览器中输入 ....club。此时浏览器没有该域名相关的HSTS响应头,所以不能强制使用https访问。然后服务器接收到用户的http请求,然后服务器返回301/302告诉浏览器跳转到....club进行访问。浏览器收到301/302后,使用....club再次发起访问,服务器收到用户的请求。https请求,返回HSTS响应头,浏览器只能接收到域名对应的HSTS响应头。
从以上流程可以看出,当用户第一次访问时,还是不可避免的会进行301/302跳转,也就是说还是有可能被第三方攻击的。那我们该怎么办?
这时候就需要维护一个域名列表(List)。同时,列表被硬编码并嵌入到浏览器中。只要使用添加到此列表中的域名,访问时会自动强制使用该域名。https 访问。
也就是说,即使用户第一次访问一个域名,也会被强制转换为https重新访问,从而避免了第一次访问时的第三方攻击。
注意:除非网站打算长期使用https,否则请不要随意加入。因为 List 是硬编码到浏览器中的,所以更新迭代比较慢。加入后如果想退出,时间会比较长,需要等待浏览器版本。更新(目前使用此列表的有:、、Opera、、IE 11 和 Edge 等)
申请加入列表时,不判断申请者是否为域名所有人。因此,为防止他人恶意将您的域名添加到List中,请勿随意在域名的响应头中添加参数。
申请加入这个名单的时候,步骤比较简单,网站上的说明也很清楚。我们不会在这里一一解释。一个例子如下:
4)网站启用HSTS后,用户将无法无视浏览器的不安全提示,继续访问不安全链接。因此,可以进一步保护用户的数据安全:
HSTS使用总结
对于那些对安全性要求比较高的网站来说,HSTS无疑是一个不错的选择。开启该功能后,当用户访问网站域名时,市面上的主流浏览器会强制使用HTTPS请求网站资源,这样可以更有效。安全地保护网站和用户数据。
综上所述,开启HSTS后,上述背景中提到的1、2、3、4个问题都可以很好的解决。
最后但并非最不重要的:
HSTS的出现带来了安全和便利,但我们也需要谨慎操作配置burpsuit谷歌浏览器证书及HSTS问题处理,因为如果某个参数设置不当,可能会导致网站长时间无法访问,损失会很大。
因此,只要我们能够分析理解清楚,根据自己的情况合理设置各个参数,就可以达到预期的效果,既可以保证安全,又可以提高网站访问的效率。
概括
1、开启HSTS后,可以做个测试,网站的安全级别会进一步提升
开封前等级为:A
打开后,等级变为:A+
2、目前支持HSTS的浏览器如下:(不支持的浏览器会忽略这个响应头,不会影响用户访问配置burpsuit谷歌浏览器证书及HSTS问题处理,不用担心)
此条目在所有文章中。.
评论留言