您好!歡迎訪問95網站大全,本站是一個快速收錄網站的網址導航/網站大全/網站導航網!
當前位置:95網站大全 » 投稿專欄 » 網絡資訊 » 文章詳細 訂閱RssFeed

未來,HSTS使網站更安全

發布時間:2019-05-26 來源:網絡轉載 瀏覽:3357次
未來,HSTS使網站更安全圖片

  未來,HSTS使網站更安全。有不少網站只通過HTTPS對外提供服務,但用戶在訪問某個網站的時候,在瀏覽器里卻往往直接輸入網站域名而不是輸入完整的URL,不過瀏覽器依然能正確的使用HTTPS發起請求。這背后多虧了服務器和瀏覽器的協作。既然建立HTTPS連接之前的這一次HTTP明文請求和重定向有可能被攻擊者劫持,那么解決這一問題的思路自然就變成了如何避免出現這樣的HTTP請求。我們期望的瀏覽器行為是,當用戶讓瀏覽器發起HTTP請求的時候,瀏覽器將其轉換為HTTPS請求,直接略過上述的HTTP請求和重定向,從而使得中間人攻擊失效,規避風險。

  HSTS不僅會告知瀏覽器自動請求HTTPS頁面(即使用戶在瀏覽器地址欄中輸入的是http),還會告知搜索引擎及搜索結果中提供安全網址,從而最大限度地降低了向用戶提供不安全內容的風險。要支持HSTS,請使用支持HSTS的網絡服務器并啟用該功能。

  雖然HSTS更安全,但它會增加回滾策略的復雜性。我們建議您按照以下方式啟用HSTS:

  首先,滾動未啟用HSTS的HTTPS頁面。

  開始發送max-age較短的HSTS標頭。通過用戶和其他客戶端監控您的流量,并監控相關內容的效果,如廣告。

  逐步增加HSTS的max-age。

  如果HSTS不會對您的用戶和搜索引擎產生負面影響,您便可請求系統將您的網站添加到被大多數主要瀏覽器使用的HSTS預加載列表中(如果您愿意的話)。

  關于HTTPS網站如何支持HSTS可以查看《HSTS安全協議配置啟用,從HTTP到HTTPS的安全高效轉移》一文。

  考慮使用HSTS預加載

  如果您啟用了HSTS,則可選擇支持HSTS預加載,以進一步提高安全性并改善性能。要啟用預加載,您必須訪問hstspreload.org并按照其中所述的提交要求對您的網站執行相應操作進行配置。

  理論上而言,用戶看到這個警告之后就應該提高警惕,意識到自己和網站之間的通信不安全,可能被劫持也可能被竊聽,如果訪問的恰好是銀行、金融類網站的話后果更是不堪設想,理應終止后續操作。然而現實很殘酷,就我的實際觀察來看,有不少用戶在遇到這樣的警告之后依然選擇了繼續訪問。

  不過隨著HSTS的出現,事情有了轉機。對于啟用了瀏覽器HSTS保護的網站,如果瀏覽器發現當前連接不安全,它將僅僅警告用戶,而不再給用戶提供是否繼續訪問的選擇,從而避免后續安全問題的發生。例如,當訪問Google搜索引擎的時候,如果當前通信連接存在安全問題,瀏覽器將會徹底阻止用戶繼續訪問Google。


┃?推薦站點

  • 99網站目錄網99網站目錄網

    99網站目錄網是一個優秀的網站分類目錄,免費提供網站收錄、網站目錄提交、網址目錄檢索、中文網站目錄搜索等功能,是廣大網友與站長朋友們必備的網站分類目錄網!

    2019-08-08
  • 95網站大全95網站大全

    95網站大全/網站導航網匯聚國內外優秀的網站網址,并免費提供網站收錄/網址導航/網站大全/網站導航/網站推廣服務,快速幫助中小企業提升網站排名及知名度.

    2018-08-30
  • 網絡新詞網網絡新詞網

    疾風流行語網(www.jifengweb.com)實時更新網絡熱詞與網絡流行語,為您一站式解讀最新最熱門的網絡新名詞,網絡新詞,網絡熱詞,引領熱詞榜單!包含最新網絡流行語、網絡流行語言、網絡用語、網絡流行用語、網絡語言。

    2018-07-03
广西11选5直选三技巧