Windless
订阅/Feed
稗田千秋(i@wind.moe)

HSTS小记

稗田千秋
Dec.01 2015 security

HTTP严格传输安全(HTTP Strict Transport Security)是一个安全策略,让浏览器强制使用 HTTPS 与服务器进行通信,减少会话劫持风险.

用处

HSTS可以用来抵御SSL剥离攻击,即阻止浏览器与服务器创建HTTPS连接,HSTS可以很大程度上解决SSL剥离攻击,因为只要浏览器曾经与服务器创建过一次安全连接,之后浏览器会强制使用HTTPS,即使链接被换成了HTTP.

兼容性

IE11及以上现代浏览器皆支持此特性.

配置

在 Apache2 的配置文件里(/path/to/apache2/sites-enabled/000-default.conf)的相应位置添加如下语句

....
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
....

在 Nginx下,直接将下列语句加入 Server 模块中

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
引用

--END--
文章创建于 2015-12-01 17:16:29,最后更新 2015-12-01 17:16:29
Comment
尝试加载Disqus评论, 失败则会使用基础模式.
    • play_arrow

    About this site

    version:1.02 Alpha
    博客主题: Lime
    联系方式: i@wind.moe
    写作语言: zh_CN & en_US
    博客遵循 CC BY-NC-SA 4.0许可进行创作

    此外,本博客会基于访客的Request Headers记录部分匿名数据用于统计(Logger的源码见Github),包含Referer, User-Agent & IP Address.个人绝不会主动将数据泄露给第三方