Ievads HSTS
HSTS apzīmē HTTP Strict-Transport-Security, kas ir tīmekļa drošības politikas mehānisms.
HSTS pirmo reizi tika iekļauts ThoughtWorks tehnoloģiju radarā 2015. gadā, un jaunākajā tehnoloģiju radara numurā 2016. gadā tas pārgāja tieši no "izmēģinājuma" posma uz "pieņemšanas" fāzi, kas nozīmē, ka ThoughtWorks stingri atbalsta nozares aktīvu šī drošības aizsardzības pasākuma pieņemšanu, un ThoughtWorks to ir piemērojis saviem projektiem.
HSTS kodols ir HTTP atbildes galvene. Tas ir tas, kas ļauj pārlūkprogrammai zināt, ka pašreizējais domēna vārds ir pieejams tikai caur HTTPS nākamajā laika periodā, un, ja pārlūkprogramma konstatē, ka pašreizējais savienojums nav drošs, tas piespiedu kārtā noraidīs lietotāja turpmākos piekļuves pieprasījumus.
Tīmekļa vietne ar HSTS politiku nodrošinās, ka pārlūkprogramma vienmēr ir savienota ar vietnes HTTPS šifrēto versiju, novēršot nepieciešamību lietotājiem manuāli ievadīt šifrēto adresi URL adreses joslā, samazinot sesijas nolaupīšanas risku.
HTTPS (SSL un TLS) nodrošina lietotāju un vietņu drošu saziņu, apgrūtinot uzbrucēju pārtveršanu, modificēšanu un uzdošanos. Ja lietotājsManuāla domēna nosaukuma vai http:// saites ievadīšana, tīmekļa vietnēPirmais pieprasījums ir nešifrēts, izmantojot vienkāršu http. Tomēr visdrošākās vietnes nekavējoties nosūta atpakaļ novirzīšanu, novirzot lietotāju uz https savienojumu,Uzbrucējs var uzbrukt, lai pārtvertu sākotnējo HTTP pieprasījumu un tādējādi kontrolētu lietotāja turpmāko atbildi。
HSTS principi
HSTS galvenokārt kontrolē pārlūkprogrammas darbības, nosūtot atbildes galvenes no servera:
Kad klients veic pieprasījumu, izmantojot HTTPS, serveris atgrieztajā HTTP atbildes galvenē iekļauj lauku Strict-Transport-Security.
Pēc tam, kad pārlūkprogramma saņem šādu informāciju,Jebkurš pieprasījums vietnei noteiktā laika periodā tiek iniciēts HTTPSbez HTTP iniciētā servera novirzīšanas uz HTTPS.
HSTS atbildes galvenes formāts
Parametra apraksts:
maksimālais vecums (sekundēs): tiek izmantots, lai norādītu pārlūkprogrammai, ka vietnei noteiktā laika periodā ir jāpiekļūst, izmantojot HTTPS protokolu. Tas nozīmē, ka šīs vietnes HTTP adresei pārlūkprogrammai pirms pieprasījuma nosūtīšanas tā lokāli jāaizstāj ar HTTPS.
includeSubDomains (pēc izvēles): ja šis parametrs ir norādīts, tas norāda, ka visiem vietnes apakšdomēniem ir jāpiekļūst, izmantojot HTTPS protokolu.
iepriekšēja ielāde: to domēnu nosaukumu saraksts, kuros tiek izmantots pārlūkprogrammā iebūvēts HTTPS.
HSTS iepriekšējas ielādes saraksts
Lai gan HSTS ir labs risinājums HTTPS degradācijas uzbrukumiem, HSTSPirmais HTTP pieprasījums pirms tā stāšanās spēkā joprojāmNo tā nevar izvairītiesNolaupītas。 Lai atrisinātu šo problēmu, pārlūkprogrammu ražotāji ir ierosinājuši HSTS iepriekšējas ielādes saraksta risinājumu. (izlaists)
IIS konfigurācija
Pirms konfigurācijas apmeklējiet vietni, kā parādīts tālāk:
Lai to ieviestu programmā IIS7+, vienkārši pievienojiet HSTS prasību CustomHeader vietnē web.config, kas ir konfigurēta šādi:
Pēc izmaiņām vēlreiz apmeklējiet vietni, kā parādīts tālāk.
Nginx konfigurācija
Ja vietne izmanto nginx reverso starpniekserveri, varat arī konfigurēt nginx tieši, lai to ieviestu šādi:
Chrome skata kārtulas
Lai skatītu pašreizējos HSTS noteikumus, izmantojiet Google Chrome chrome, lai rakstītuchrome://net-internals/#hstsIevadiet automašīnu, kā parādīts zemāk redzamajā attēlā:
Atsauce
HTTP stingra transporta drošība:Hipersaites pieteikšanās ir redzama.
(Beigas)
|
Publicēts 17.09.2022 20:55:30
|
|
|
|
Publicēts 19.09.2022 20:13:41
|
