设为首页 - 加入收藏 德州站长网 (http://www.0534zz.cn)- 人工智能,建站,VR,云计算,推广,大数据,5G,微商,站长网!
热搜: find 3
当前位置: 首页 > 运营中心 > 建站资源 > 经验 > 正文

网站配置HSTS协议的益处和必要性

发布时间:2021-12-28 02:05 所属栏目:[经验] 来源:互联网
导读:一般情况下我们访问一个网站时,在浏览器中输入网址。比如直接输入网址https://wpbox.cc或 wpbox.cc,这就给了中间人攻击的机会,会被重定向到恶意站点,不是很安全。 因为在主机上做过301重定向到 https://wpbox.cc, HTTPS 网站的做法是对用户的 HTTP 访问
一般情况下我们访问一个网站时,在浏览器中输入网址。比如直接输入网址https://wpbox.cc或 wpbox.cc,这就给了中间人攻击的机会,会被重定向到恶意站点,不是很安全。
 
因为在主机上做过301重定向到 https://wpbox.cc, HTTPS 网站的做法是对用户的 HTTP 访问跳转到 HTTPS。这个跳转使用了不安全的 HTTP 通信。
 
HSTS协议的出现就是解决这个问题的。HSTS可以阻止基于SSLStrip 的中间人攻击;
 
而HSTS协议使 Web 服务器告知浏览器不使用 HTTP 访问,在浏览器端自动将所有到该站点的 HTTP 访问替换为 HTTPS 访问。
 
HSTS是网站从HTTP跳转到HTTPS中加强网站性能及安全优化非常重要的一个环节。我的WordPress百宝箱,在使用中,发现对于我的网站访问速度、Google搜索引擎收录优化,有非常大的帮助,非常值得推荐。
 
因为我的WordPress百宝箱是搭建在Wopus的虚拟主机上,所以实现HSTS和一般的VPS服务器搭建的网站还是有非常大的区别的。
 
基本思路就是通过Really Simple SSL pro插件和按照HSTS Preload List检测要求来完成HSTS布置的。
 
采用HSTS协议的网站将保证浏览器始终连接到该网站的 HTTPS 加密版本,不需要用户手动在浏览器地址栏中输入加密地址,直接跳转到HTTPS网站,不再使用HTTP。
 
HSTS协议可以对你的网站采用全局加密,用户看到的就是该网站的安全版本。也就是在浏览器中,直接显示的是带有小绿锁版本的网站,不再是标识为不安全的网站。
 
HSTS协议带有强制性,强制浏览器使用 HTTPS与服务器创建连接。所以要想解除HSTS协议,还是比较麻烦的。但是因为这个协议是由各大浏览器公司和互联网组织推动,所以暂时没有淘汰的可能性。
 
浏览器获取到该信息后,会将所有 HTTP 访问请求在内部做307跳转到 HTTPS,而无需任何网络过程,从而提高了兼容性。
 
要解决这个问题,需要将网站提交到HSTS preload list。
 
进入该列表中的网站,使用浏览器访问时,会自动转换成 HTTPS。
 
具体的申请条件,可以将你的网站提交HSTS Preload List ,提交会出来你要满足什么条件;
  
从申请到审核通过,时间在十天左右。在提交申请的这段时间里,不要取消任何的301重定向,如果取消可能审核不通过。不过审核通过后,就可以取消。

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章
热点阅读