您好,欢迎来到33目录网(免费提交收录网站)提升网站排名,加大品牌曝光率首选!
1. 33目录网即日起开通快速审核服务!       2. 免费收录优质网站中,欢迎提交网站!       3. 现诚招友链,联系QQ2855532207!

当前位置:33目录网 » 投稿专栏 » 网络资讯 » 文章详细 订阅RssFeed

如何开启hsts网站安全功能

发布时间:2018-12-04 来源:网络转载 浏览:1265次
如何开启hsts网站安全功能图片

  【如何开启hsts网站安全功能】HSTS的出现,在带来安全、便捷的同时,咱们也需要谨慎操作,因为如果某个参数设置不当,就有可能将导致网站长时间无法访问,那损失就大了。

  所以只要咱们能够分析明白、理解透彻,根据自身情况,合理设置每个参数,就可以达到预想的效果,既能保证安全,又可以提升网站访问效率。

  HSTS理解起来也比较容易,它是通过服务器发送一个响应头的方式来控制浏览器操作的,咱们先来看一下HSTS响应头的构成:

  Strict-Transport-Security:max-age=expireTime[;includeSubDomains][;preload]

  此响应头只有在https访问返回时才生效,其中[]中的参数表示可选

  max-age:HSTS功能生效时间,单位是秒,也就是说在这段时间内,浏览器将始终强制采用HTTPS来访问相应的网址

  includeSubDomains:如果指定,则表示域名(例如:33mulu.com)对应的每个子域名(例如:www.33mulu.com或123.example.33mulu.com),浏览器在访问时也都会强制采用HTTPS进行访问

  preload:如果指定,则表示此域名同意申请加入由Google发起的PreloadList,申请地址。

  举例如下:

  2、实现方式

  上述说明,可能不是很好理解,那咱们就拿一个实际的例子来说明一下:

  1)当只有max-age参数时,设置时间为300秒

  作用是:在这300秒内,只要用户在浏览器中输入zzx1…..club/123.gif,则浏览器会自动强制使用https://zzx1….club/123.gif进行访问

  (注意:这里的时间设置不宜过长,一般建议为6个月。

  如果设置很长,而域名某天不再使用https,且时间并未过期,则将导致用户无法访问)

  大家抓包时可能会发现,有一个307的状态码,这个和上述301/302状态码不同,它并不是服务器返回的,而是浏览器本地自动生成,即在浏览器本地自动发生了http到https的跳转,与网站服务器没有任何交互。

  响应头中:Non-Authoritative-Reason:HSTS,也标明了是因为HSTS功能的缘故,导致浏览器本地发生了http到https的跳转。

  2)当有includeSubDomains参数时

  作用是告诉浏览器,当用户访问域名的(例如:33mulu.com)每个子域名(例如:www.33mulu.com或123.example.33mulu.com)时,浏览器也必须强制采用HTTPS进行访问。

  注意:如上所述,此参数影响范围较大,如果某些子域名没有启用https,则将导致无法访问,所以添加请谨慎!



┃ 推荐站点

  • 网站目录网网站目录网

    99网站目录是一个优秀的网站分类目录,免费提供网站收录、网站目录提交、网址目录检索、中文网站目录搜索等功能,是广大网友与站长朋友们必备的网站分类目录网!

    2018-09-17
  • 33连导航(33链接导航)33连导航(33链接导航)

    33链接网址导航(33连导航,33连导航最新地址,33连导航快播电影,33连导航)2018国内更新最快内容最全_绿色网站之一,每日更新各个栏目。

    2018-07-23
  • 33链接链接(33f4网址导航)33链接链接(33f4网址导航)

    33f4网址导航(33链接链接,33f4网址导航,33f4导航,33f4网址之家,33f4网址大全,33f4网址导航,33f4,33导航)收集中国常用的实用网址,上网只需要把你电脑首页设为33f4网址导航就非常方便好用!我的上网主页,提供各种优秀的分类网站入口,门户、新闻、视频、游戏、小说、电影、音乐、导航、彩票等,简单便捷的上网导航服务,帮助广大网友轻松畅游网络。

    2018-07-23