开启HSTS Strict-Transport-Security

发表于 | 分类于 | 阅读次数

HSTS可以很大程度上解决SSL剥离攻击,因为只要浏览器曾经与服务器创建过一次安全连接,之后浏览器会强制使用HTTPS,即使链接被换成了HTTP。

另外,如果中间人使用自己的自签名证书来进行攻击,浏览器会给出警告,但是许多用户会忽略警告。HSTS解决了这一问题,一旦服务器发送了HSTS字段,用户将不再允许忽略警告。

nginx

server中加入

1
add_header Strict-Transport-Security "max-age=15552000;includeSubDomains;";

Apache

加入

1
2
3
    <IfModule mod_headers.c>
      Header always set Strict-Transport-Security "max-age=15552000;includeSubDomains"
    </IfModule>

转载使用注明出处。原文链接 https://heimo-he.github.io/linux/2018/03/30/open-hsts/