HTTP严格传输安全
HTTP严格传输
其
内容
[编辑]HSTSStrict-Transport-Security
Strict-Transport-Security: max-age=31536000; includeSubDomains
。这
在 接 下 来 的 31536000秒 (即 一 年 )中 ,浏览器 向 example.com或 其子域 名 发送HTTP请求时,必须采 用 HTTPS来 发起连接。比 如,用 户点击超 链接或 在地 址 栏输入 http://www.example.com/ ,浏览器 应当自 动将 http 转写成 https,然 后 直接 向 https://www.example.com/ 发送请求。在 接 下 来 的 一 年 中 ,如果 example.com服 务器发送的 TLS证书无效,用 户不能 忽 略 浏览器 警告 继续访问网站。
历史
[编辑]HSTS
2009
2010
2012
2012
作用
[编辑]HSTShttps://
,https://
开头http://
,达到
HSTS
另外,如果
不足
[编辑]浏览器 支持
[编辑]- Chromium
和 Google Chrome从4.0.211.0版本 开始支持 HSTS - Firefox 4及以
上 版本 [14] - Opera 12及以
上 版本 [15] - Safari从OS X Mavericks
起 - Internet Explorer
和 Microsoft Edge从Windows 10开始支持 [16]
网站支持
[编辑]参 见
[编辑]参考 文献
[编辑]- ^ Steven Musil. Web security protocol HSTS wins proposed standard status. CNET. 2012-10-02 [2014-11-09]. (
原始 内容 存 档于2014-11-10). - ^ 2.0 2.1 2.2 邹铮编译. HTTP严格传输
安全 协议成 互联网标准 . 网界网. 2012-11-23 [2014-11-06]. (原始 内容 存 档于2014-11-06). - ^ 3.0 3.1 HTTP Strict Transport Security (HSTS). Internet Engineering Task Force. November 2012 [2014-11-06]. (
原始 内容 存 档于2020-02-26). - ^ 4.0 4.1 Collin Jackson, Adam Barth. ForceHTTPS: Protecting High-Security Web Sites from Network Attacks. [2014-11-08]. (
原始 内容 存 档于2020-02-28). - ^ Jeff Hodges, Collin Jackson, Adam Barth. Strict Transport Security. 18 September 2009 [2014-11-08]. (
原始 内容 存 档于2014-10-12). - ^ Jeff Hodges, Collin Jackson, Adam Barth. draft-hodges-strict-transport-sec-00 - HTTP Strict Transport Security (HSTS). June 17, 2010 [2014-11-08]. (
原始 内容 存 档于2014-11-11). - ^ The IESG. [websec] Protocol Action: 'HTTP Strict Transport Security (HSTS)' to Proposed Standard (draft-ietf-websec-strict-transport-sec-14.txt). 2 Oct 2012 [2014-11-08]. (
原始 内容 存 档于2017-01-29). - ^ The RFC Editor Team. [websec] RFC 6797 on HTTP Strict Transport Security (HSTS). 19 Nov 2012 [2014-11-08]. (
原始 内容 存 档于2014-11-08). - ^ Moxie Marlinspike. New Tricks For Defeating SSL In Practice (PDF). [2014-11-06]. (
原始 内容 (PDF)存 档于2014-12-30). - ^
通 过HTTPS保 护网站的安全 . Google. [2014-11-06]. (原始 内容 存 档于2014-12-23). - ^ David Keeler. Preloading HSTS. Mozilla. 2012
年 11月1日 [2014-11-06]. (原始 内容 存 档于2020-02-24). - ^ Bell, Mike; Walp, David. HTTP Strict Transport Security comes to Internet Explorer. February 16, 2015 [16 February 2015]. (
原始 内容 存 档于2015-11-15). - ^ Jose Selvi. Bypassing HTTP Strict Transport Security (PDF). Blackhat Europe 2014. [2014-11-06]. (
原始 内容 (PDF)存 档于2014-10-22). - ^ HTTP Strict Transport Security. Mozilla. [2011-03-17]. (
原始 内容 存 档于2012-08-13). - ^ Opera Software ASA. Web specifications support in Opera Presto 2.10. 23 April 2012 [2012-05-08]. (
原始 内容 存 档于2016-09-11). - ^ Internet Explorer Web Platform Status and Roadmap. [2014-04-11]. (
原始 内容 存 档于2015-06-29). - ^ SSL Pulse - Survey of the SSL Implementation of the Most Popular Web Sites. TIM Trustworthy Internet Movement. [2015-02-16]. (
原始 内容 存 档于2017-05-15). - ^ Qualys SSL Labs - Projects / SSL Server Test / alipay.com. Qualys SSL Labs. [2014-11-06].
- ^ Chmarkine, CSteipp, Dzahn, Filippo Giunchedi, JanZerebecki, John F. Lewis. lists.wm.org - raise HSTS max-age to 1 year. Wikimedia Code Review. Oct 7, 2014 [2014-11-06].
外部 链接
[编辑]- (
英文 )RFC 6797, HTTP Strict Transport Security (HSTS)(页面存 档备份,存 于互联网档案 馆) - (
英文 )IETF WebSec Working Group(页面存 档备份,存 于互联网档案 馆)(互联网工程 任 务组中 的 WebSec工作 小 组主页) - (
英文 )Security Now 262: Strict Transport Security(页面存 档备份,存 于互联网档案 馆)(HSTS视频讲解) - (
英文 )Open Web Application Security Project (OWASP): HSTS description(OWASP上 的 HSTS条目 ) - (
英文 )Online browser HSTS and Public Key Pinning test(页面存 档备份,存 于互联网档案 馆)(浏览器 支持 测试) - (
英文 )HSTS Preload Submission(页面存 档备份,存 于互联网档案 馆)(提 交网站至主流 浏览器 的 HSTS预置列 表 ) - (
中 文 )Linux開 啟 HSTS安全 機 制 (页面存 档备份,存 于互联网档案 馆)
|