Https

為什麼不能在 HTTP 上發送 HSTS 標頭

  • April 3, 2017

為什麼不能在 HTTP 上發送 HSTS 標頭?

會有什麼傷害;客戶可以將其作為重定向到 https 的提示。

HTTP 請求可以被第三方操縱(緩解這是 HTTPS 的主要目的之一)。如果第三方修改 HTTP 響應以添加 HSTS 標頭會發生什麼?想像一下,這發生在一個支持 HTTPS 的站點上。客戶端現在嘗試通過不支持的 HTTPS 訪問該站點。Voilà:第三方已經完全阻止了對該站點的訪問(並且在相當長的一段時間內,如果它是一個長期的 HSTS 標頭)。

引用自:https://serverfault.com/questions/842206

相關問答

Load-Balancing

如何在 Google Container Engine 隨附的預設 Google 負載均衡器上啟用 HSTS?

  • February 10, 2021
檢視問答
Nginx

將 HSTS 添加到 nginx 配置

  • September 20, 2020
檢視問答
Apache-2.4

如何將 HSTS 標頭應用於 Apache 中超過 443 的所有虛擬主機

  • June 16, 2020
檢視問答
Nginx

Nginx - HSTS 並將非 www 重定向到 www

  • July 4, 2018
檢視問答
Linux

如何實現2台伺服器通過HTTPS和IP地址通信

  • October 18, 2022
檢視問答
Ubuntu

安裝 certbot ubuntu 21.10 未滿足的依賴項

  • October 17, 2022
檢視問答