关于HSTS

时间:2022-10-29 22:07:15

HSTS(HTTP Strict Transport Security)

当用户在浏览器中输入一个域名,如果没有注明前缀(也就是没输入"http"的时候)的时候,浏览器会默认按照http协议,访问80端口,这时候,服务端可能返回跳转让浏览器跳到https,HSTS可以让浏览器记住指定域名是要用https访问的.

当用户下次访问这个域名,不管使用什么标注,都强行跳到https.

作用:

该功能可以阻止SSL剥离攻击,大多数时候用户进入一个网站是通过点击别的网页跳入,如果别的网页写的地址是http的,并且用户网络处于被监听的情况,则有可能SSL会被剥离.用户访问的是http链接,http的数据是明文传输,安全性低,有可能出现这些情况:

1:由于网络被监听,监听方可能会在网页中插入广告,或者改变网页内容

2:在传输过程中数据被窃取.

如果开启了HSTS功能,只要浏览器与该域名的真正服务端连接过一次,以后尝试连接该域名都会强制https.很大程度上防止了SSL剥离攻击.

然而有个不足之处是:浏览器第一次访问某网站是没有HSTS保护的,因为还没收到HSTS,部分浏览器为了解决这个会自带一些域名的HSTS,比如:chrome

chrome如何删除HSTS信息?

这样操作:

1:浏览器访问chrome://net-internals/#hsts

关于HSTS

关于HSTS

会显示HSTS管理界面,

2:中间是删除,在中间输入要删除HSTS的域名,点"Delete"即可删除

关于HSTS

3:下面是查询,输入域名点"Query"即可查询

关于HSTS

删除了HSTS可通过这个验证

我发现google自己的域名似乎删不掉~

关于HSTS的更多相关文章

  1. 【流量劫持】躲避 HSTS 的 HTTPS 劫持

    前言 HSTS 的出现,对 HTTPS 劫持带来莫大的挑战. 不过,HSTS 也不是万能的,它只能解决 SSLStrip 这类劫持方式.但仔细想想,SSLStrip 这种算劫持吗? 劫持 vs 钓鱼 ...

  2. 使用https的HSTS需要注意的一个问题

    HSTS(HTTP Strict Transport Security) 简单来说就是由浏览器进行http向https的重定向.如果不使用HSTS,当用户在浏览器中输入网址时没有加https,浏览器会 ...

  3. HTTPS强制安全策略-HSTS协议阅读理解

    https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security [阅读理解式翻译,非严格遵循原 ...

  4. HTTP HSTS协议和 nginx

    导读 Netcraft 公司最近公布了他们检测SSL/TLS网站的研究,并指出只有仅仅5%的用户正确执行了HTTP严格传输安全HSTS.本文介绍nginx如何配置HSTS. 什么是HSTS HTTPS ...

  5. 使用mitmf 来绕过HSTS站点抓取登陆明文

    使用mitmf 来绕过HSTS站点抓取登陆明文 HSTS简介 HSTS是HTTP Strict Transport Security的缩写,即:"HTTP严格安全传输".当浏览器第 ...

  6. web前端利用HSTS(新的Web安全协议HTTP Strict Transport Security)漏洞的超级Cookie(HSTS Super Cookie)

    web前端如果想实现cookie跨站点,跨浏览器,清除浏览器cookie该cookie也不会被删除这似乎有点难,下面的教程让你完全摆脱document.cookie 1.服务器端设置HSTS 如PHP ...

  7. HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一)

    // HTTP strict transport security (HSTS) is defined in// http://tools.ietf.org/html/ietf-websec-stri ...

  8. HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(二)

    HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一) 下面来查看其他对保存HSTS信息的enabled_sts_hosts ...

  9. 如何关闭浏览器的HSTS功能

    在安装配置 SSL 证书时,可以使用一种能使数据传输更加安全的Web安全协议,即在服务器端上开启 HSTS (HTTP Strict Transport Security).它告诉浏览器只能通过HTT ...

  10. 从 HTTP 到 HTTPS 再到 HSTS

    近些年,随着域名劫持.信息泄漏等网络安全事件的频繁发生,网站安全也变得越来越重要,也促成了网络传输协议从 HTTP 到 HTTPS 再到 HSTS 的转变. HTTP HTTP(超文本传输协议) 是一 ...

随机推荐

  1. 樱花漫地集于我心,蝶舞纷飞祈愿相随 発生:genesis 发生:genesis

    朱念齐,学号160809404(这些其实并没有什么乱用)唉( ̄y▽ ̄)~* 正文 鬼族后裔,原是露格尼卡王国的子民,在王立比布利亚学园任职魔法使拥有分别为: 拥有书库: 书库:傲慢(Superbia) ...

  2. 关于<![CDATA[]]

    术语 CDATA 指的是不应由 XML 解析器进行解析的文本数据(Unparsed Character Data). 在 XML 元素中,"<" 和 "&& ...

  3. Word2007中如何插入参考文献

    很多国内的期刊杂志都只能使用word模板,导致插入参考文献成了件麻烦事,这时特别怀念Latex的便捷.于是找到一篇介绍word2007里插入参考文献的好方法,就是利用尾注的方法使文章的参考文献标号可以 ...

  4. Oracle 当前时间加减

     当我们用 select sysdate+number from dual ;我们得到的是,当前的时间加上number天后的时间.从这里我们也可以看出,使用这种方式进行时间计算的时候,计算的单位是天, ...

  5. Qt5:窗口居中显示

    QDesktopWidget* desktop = QApplication::desktop(); // =qApp->desktop();也可以move((desktop->width ...

  6. C&plus;&plus; size&lowbar;t 和size&lowbar;type的区别

    为了使自己的程序有很好的移植性,c++程序员应该尽量使用size_t和size_type而不是int, unsigned size_t是全局定义的类型:size_type是STL类中定义的类型属性,用 ...

  7. MVC开发中的常见错误-05-无法将类型&OpenCurlyDoubleQuote;System&period;Data&period;Entity&period;Infrastructure&period;DbQuery&lt&semi;BBFJ&period;OA&period;Model&period;RoleInfo&gt&semi;”转换为&OpenCurlyDoubleQuote;System&period;Collections&period;Generic&period;List&lt&semi;BBFJ&period;OA&period;Model&period;RoleInfo&gt&semi;”

    List<RoleInfo> roleInfoList = (List<RoleInfo>)ViewBag.AllRoles; 错误原因很明确了 ViewBag.AllRole ...

  8. &lbrack;SQL Server&rsqb; 复制数据库任务

    假设你要生产环境下的数据做相应的测试,比如修改及测试存储过程.更改和优化索引等.但是你用户在连接数据库的情况下,你又不能断开数据库的连接.如何取得数据库的副本呢? 一.  利用数据库任务中的复制数据库 ...

  9. eclipse调试时增加jvm参数

    下面的程中我们限制Java 堆的大小为20MB,不可扩展(将堆的最小值-Xms 参数与最大值-Xmx 参数设置为一样即可避免堆自动扩展),通过参数-XX:+HeapDumpOnOutOfMemoryE ...

  10. 016&period;2 String

    内容:String方法+练习 #######################################比较方法:equals()字符串长度:int length()字符的位置:int index ...

相关文章