Įvadas į HSTS
HSTS reiškia HTTP Strict-Transport-Security, kuris yra žiniatinklio saugos politikos mechanizmas.
HSTS pirmą kartą buvo įtrauktas į "ThoughtWorks" technologijų radarą 2015 m., o naujausiame "Technology Radar" numeryje 2016 m. jis perėjo tiesiai iš "Bandymo" etapo į "Priimti" etapą, o tai reiškia, kad "ThoughtWorks" tvirtai pasisako už aktyvų šios saugumo apsaugos priemonės priėmimą pramonėje, o "ThoughtWorks" pritaikė ją savo projektams.
HSTS esmė yra HTTP atsakymo antraštė. Būtent jis leidžia naršyklei žinoti, kad dabartinis domeno vardas kitą laiką pasiekiamas tik per HTTPS, o jei naršyklė nustato, kad dabartinis ryšys nėra saugus, ji priverstinai atmes vėlesnes vartotojo prieigos užklausas.
Svetainė su HSTS politika užtikrins, kad naršyklė visada būtų prijungta prie HTTPS užšifruotos svetainės versijos, todėl vartotojams nereikės rankiniu būdu įvesti užšifruoto adreso URL adreso juostoje, sumažinant sesijos užgrobimo riziką.
HTTPS (SSL ir TLS) užtikrina, kad vartotojai ir svetainės bendrautų saugiai, todėl užpuolikams sunku perimti, modifikuoti ir apsimesti. Kai vartotojasRankiniu būdu įveskite domeno vardą arba http:// saitą, interneto svetainėjePirmoji užklausa neužšifruota, naudojant paprastą http. Tačiau saugiausios svetainės iš karto siunčia peradresavimą, nukreipiantį vartotoją į https ryšį,Vidurio užpuolikas gali atakuoti, kad perimtų pradinę HTTP užklausą ir taip kontroliuotų tolesnį vartotojo atsakymą。
HSTS principai
HSTS daugiausia kontroliuoja naršyklės operacijas siųsdamas atsakymų antraštes iš serverio:
Kai klientas pateikia užklausą per HTTPS, serveris į grąžinamą HTTP atsakymo antraštę įtraukia lauką "Strict-Transport-Security".
Kai naršyklė gauna tokią informaciją,Bet kokia užklausa svetainei per tam tikrą laiką inicijuojama HTTPSHTTP inicijuotas serveris nenukreipia į HTTPS.
HSTS atsakymo antraštės formatas
Parametro aprašymas:
maksimalus amžius (sekundėmis): naudojamas naršyklei nurodyti, kad svetainė turi būti pasiekta per HTTPS protokolą per nurodytą laikotarpį. Tai yra, prieš siųsdama užklausą, naršyklė turi pakeisti šios svetainės HTTP adresą HTTPS.
includeSubDomains (neprivaloma): Jei šis parametras nurodytas, tai rodo, kad visi svetainės padomeniai taip pat turi būti pasiekiami per HTTPS protokolą.
išankstinis įkėlimas: domenų vardų, naudojančių naršyklėje integruotą HTTPS, sąrašas.
HSTS išankstinio įkėlimo sąrašas
Nors HSTS yra geras sprendimas HTTPS degradacijos atakoms, HSTSPirmoji HTTP užklausa prieš jai įsigaliojant, vis darTo negalima išvengtiUžgrobti。 Norėdami išspręsti šią problemą, naršyklių gamintojai pasiūlė HSTS išankstinio įkėlimo sąrašo sprendimą. (praleista)
IIS konfigūracija
Prieš konfigūruodami apsilankykite websvetainė, kaip parodyta toliau:
Norėdami tai įgyvendinti IIS7+, tiesiog įtraukite HSTS CustomHeader reikalavimą web.config, kuris sukonfigūruotas taip:
Po pakeitimo dar kartą apsilankykite svetainėje, kaip parodyta toliau:
Nginx konfigūracija
Jei svetainėje naudojamas nginx atvirkštinis tarpinis serveris, taip pat galite tiesiogiai sukonfigūruoti nginx, kad jį įgyvendintumėte, kaip nurodyta toliau:
"Chrome" peržiūros taisyklės
Jei norite peržiūrėti dabartines HSTS taisykles, naudokite "Google Chrome" chromą, kad įvestumėtechrome://net-internals/#hstsĮveskite automobilį, kaip parodyta paveikslėlyje žemiau:
Nuoroda
HTTP griežta transportavimo sauga:Hipersaito prisijungimas matomas.
(Pabaiga)
|
Paskelbta 2022-09-17 20:55:30
|
|
|
|
Paskelbta 2022-09-19 20:13:41
|
