如果我希望客戶端始終使用HTTP連接,是否只需要在應用程序的代碼中包含標頭,還是需要在服務器上進行更改?另外,如何簡單地將用戶重定向到HTTP頁面,讓他們每次嘗試使用HTTP都會如何?僅需要Web應用程序的代碼才能支持HSTS?
回答
如果你只有HTTP - > HTTPS重定向,客戶端可能仍會嘗試向你發送敏感數據(或者獲取一個包含敏感數據的URL) - 這會讓它公開公開。如果它知道你的網站是HSTS,那麼它甚至不會嘗試通過HTTP進行訪問,從而消除暴露。這是一個相當小的IMO勝利 - 更大的風險是大量的根CA,因爲微軟,Mozilla,Opera和Google的政策,每個人都盲目信任。
您是否可以詳細說明您的評論?如果您只有HTTP - > HTTPS重定向,客戶端可能仍會嘗試向您發佈敏感數據(或獲取其中包含敏感數據的URL) - 這會離開它公開暴露.' – PeanutsMonkey
如果更大的風險確實是大量的根證書頒發機構,你會推薦做什麼來解決它? – PeanutsMonkey
使用HTTPS,在任何其他數據來回傳遞(請求URI,cookie,POST數據)之前建立一個「安全」隧道。在HTTP中,這些東西剛剛結束。如果瀏覽器知道你的網站沒有執行HTTP,它就不會通過HTTP傳輸這些元素,所以壞人更難以監視流量並讀取最初發送的一組數據中包含的信息。 – Ram
- 1. 在java web應用程序中需要添加哪些庫才能支持ExtJS
- 2. JMX是否需要Web應用程序才能連接到它?
- 3. 碼頭Web應用程序的圖像需要保持運行
- 4. 我需要Xcode的Flash支持代碼
- 5. 需要多少個應用程序ID才能支持/發送按鈕和SDK?我需要一個嗎?
- 6. 支持媒體支持的ASP.NET 3.5 Web應用程序(CD-ROM)
- 7. ASP.net Web應用程序撤消支持
- 8. 支持Web應用程序 - 網站
- 9. 可支持Web應用程序(.NET C#)
- 10. Web應用程序需要打開套接字並支持一些協議
- 11. 傳統MS Access應用程序需要支持多個用戶
- 12. Heroku應用程序需要太長的時間才能加載
- 13. 調試Visual Studio 2008 Web應用程序需要很長時間才能啓動
- 14. 我需要什麼插件才能在Net Beans中創建Web應用程序
- 15. 我是否需要單獨的Twitter應用程序才能與iOS和Android應用程序+ Web集成?
- 16. 需要BI儀表板才能用於SaaS應用程序
- 17. F#需要重寫代碼才能不需要可變變量
- 18. 需要默認的Rally看板應用程序才能顯示當前迭代
- 19. 我需要編寫什麼代碼才能生成此代碼?
- 20. 支持包的應用程序代碼不完整
- 21. 我需要安裝Xcode才能開發Apple TV應用程序?
- 22. Dropbox需要多長時間才能查看應用程序?
- 23. 如何讓PHP應用程序需要密鑰才能工作?
- 24. 需要僵局Web應用程序
- 25. 如何讓Android應用程序需要相機支持才能在Samsung Galaxy Mini和類似設備上運行?
- 26. 僅在第一次打開應用程序時需要密碼
- 27. 是否需要WSo2代理才能從企業商店安裝應用程序?
- 28. 我怎樣才能整合iPhone應用程序中的代碼
- 29. 的Web應用程序代碼生成
- 30. Web文本應用程序的代碼?
是基於API的網頁嗎?這種情況下的客戶是什麼? – Ram
@Ram - 沒有涉及的API。例如,我有一個網站,總是需要一個安全的渠道。客戶端是一個Web瀏覽器。從來沒有真正想過其他客戶,但會熱衷於知道哪些其他實例允許HSTS? – PeanutsMonkey
主要區別在於您觸發客戶端(如果它具有該功能)甚至不嘗試使用HTTP,從而阻止他們通過HTTP發送貴重物品以嘗試聯繫您的服務器(無論如何,他們不會處理它)。對於服務器端來說,你在多個層面上有很多選擇:http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Implementation – Ram