hsts - IT屋-程序员软件开发技术分享社区

在 AWS ELB 应用程序负载均衡器中启用 HSTS

我们喜欢为 IIS 部署的 Web 应用程序启用 HSTS. 我们有 SSL 终止 ELB 应用程序负载平衡器.我们在 IIS 中启用了 URL 重写模块并配置了 x-Forward-Proto 标签来决定和启用响应中的 HSTS 标头. 目前，ALB 似乎不会将自定义标头从 IIS 传递到 ALB，再传递给最终用户.我们想看看是否有办法在 ALB 级别启用 HSTS，它可以接受自定义 ..

发布时间：2021-11-27 10:01:10 amazon-web-services ssl iis amazon-elb hsts 服务器开发

如何禁用 HTTP 严格传输安全?

我有一个带有 config.force_ssl = true 的 Rails 应用程序，但现在我不想要 SSL 加密，但我的应用程序仍在重定向到 https.我读到这是 Apache 上的 HTTP 严格传输安全问题.如何禁用它? 解决方案这不是 Apache 的问题，而是 Rails 发送 HSTS 标头这一事实. 在 Chrome 中，您可以通过进入 about:net-int ..

发布时间：2021-11-11 05:13:03 ruby-on-rails apache ssl https hsts 服务器开发

Safari 不断在本地主机上强制使用 HTTPS

当我在 Safari 中加载 http://localhost:3000 时，Safari 会自动重定向到 https://localhost:3000.如何禁用此功能? 我进入 ~/Library/Cookies/HSTS.plist 并删除 localhost 条目，然后重新启动 Safari 但它只是将其重新添加到该 plist 文件中重定向到 https. 任何想法如何解决这个 ..

发布时间：2021-07-14 19:23:22 http https safari hsts 其他开发

在app.yaml中添加HSTS标头(Google App Engine)

我的 app.yaml 中有以下处理程序部分: 处理程序:-网址:/(robots \ .txt | sitemap \ .xml)static_files:\ 1上传:(机器人\ .txt | sitemap \ .xml)安全:始终http_headers:严格的运输安全性:'max-age = 63072000;includeSubDomains;预载"-网址:/.*脚本:main.app ..

发布时间：2021-05-11 20:26:26 google-app-engine https http-headers app.yaml hsts 其他开发

解析Firefox HSTS预加载列表

我需要解析Mozilla的dveloper论坛上提到的Mozilla的HSTS预加载列表: https://developer.mozilla.org/zh-CN/docs/Web/Security/HTTP_strict_transport_security 作为"Firefox HSTS预加载列表的咨询: Chrome提供JSON格式的HSTS预加载列表，这很容易解释. 解决方案 ..

发布时间：2021-05-08 19:01:15 firefox ssl hsts 其他开发

如何在我的网站上实施HSTS

我有一个网站(godaddy的域名，托管在hostgator中).当我手动更新证书时，我可以将我的网站重定向到https，但是它总是从Google搜索访问http.在网上搜索之后，我知道考虑到目标域上的 curl -i -L 结果，考虑到 Strict-Transport-Security:max-age = 15768000 需要，因为它将强制浏览器在https中打开网站.但是我对如何在我的网站 ..

发布时间：2021-04-27 20:20:23 php http curl https hsts PHP

如何在AWS Elastic Load Balancer上实施HTTP严格传输安全性(HSTS)?

我想在我的应用程序中实现HSTS. 我有一个ELB终止SSL并将流量转发到我的应用程序，该应用程序是用作反向代理的apache服务器. 我知道，要实现HSTS，我需要在请求中添加标头Strict-Transport-Security. 不幸的是，似乎我无法在我的Apache服务器上实现它，因为必须将其添加到HTTPS虚拟主机中，并且我的Apache仅配置了http虚拟主机，因为S ..

发布时间：2020-08-23 01:51:48 apache amazon-web-services ssl amazon-elb hsts 服务器开发

ttf和woff文件未使用HSTS

在我的项目中，启用了HSTS.因此，如果有人尝试通过HTTP使用该站点，那么它将重定向到HTTPS. 在安全扫描之后，据报告ttf，woff和woff2文件正在忽略HSTS. 示例1: 在Google Crome上，如果我尝试使用URL以下，则它将重定向到HTTPS: http://example.com/backend/web/lib/roboto/Roboto-Ligh ..

发布时间：2020-06-18 19:16:13 php networking yii2 hsts PHP

使用Docker时如何在Traefik中使用STS标头

这是我一直在努力解决的问题，但是我在stackoverflow上找不到任何帮助，甚至没有找到任何帮助.我希望将来能为有类似问题的人提供帮助.非常欢迎您对此问题/答案进行详细说明. 在 Docker 环境中使用 Traefik 作为代理时，我一直试图将 STS-headers 设置为http请求.无论如何，无论我如何设置标题，我的浏览器(Google Chrome)都将忽略它们.我在做什么错了 ..

发布时间：2020-06-18 19:16:11 docker traefik hsts 其他开发

为什么RFC 6797禁止通过纯HTTP响应发送Strict-Transport-Security标头?

在阅读HSTS规范时，我在第7.2节，反对通过http而不是https: 访问时发送标头 HSTS主机不得在HTTP响应中包含STS标头字段通过非安全运输进行运输. 这是为什么?如果违反此规定会有什么风险? 解决方案不确定您是否有要解决的特定问题，或者只是出于好奇的缘故，最好在就像您一样，我看不到服务器通过HTTP发送此威胁.这真的没有道理，但是我不确定是否有诚实的风险. ..

发布时间：2020-06-18 19:16:09 security web specifications hsts 其他开发

由于HSTS，本地虚拟主机在Chrome上显示“隐私错误"

我为我的开发过程创建了多个虚拟主机.直到昨天他们都工作得很好.但是今天在我的Chrome应用中，他们停止了工作. Chrome显示:NET::ERR_CERT_AUTHORITY_INVALID 我所有的虚拟主机都以 .dev 结尾.我将一个 .dev 更改为 .work ，然后它再次正常工作.但是我不能对所有虚拟主机执行此操作，因为它们太多了.我该怎么办? PS : 他们在Fi ..

发布时间：2020-06-18 19:16:07 google-chrome security browser virtualhost hsts 其他开发

Cookie无法在JavaScript(和开发工具)中访问，但会与XHR请求一起发送(不使用httponly)

我在具有基于会话授权的不同域上同时使用前端和后端应用程序.我已经设置了一个有效的CORS配置，该配置可以在localhost上正常运行(例如，从端口:9000到端口:8080).一旦将应用程序部署到安全域(两个域都只允许HTTPS)上，就无法在JavaScript中访问CSRF cookie，从而导致前端的后续请求不正确(缺少CSRF标头). cookie由后端在Set-Cookie标头中设置， ..

发布时间：2020-06-18 19:16:04 javascript cookies cross-domain hsts strict-transport-security 前端开发

Apache/mod_wsgi和Django上的HTTPS和HSTS

我正在为Django 1.8项目设置站点范围的HTTPS.我没有网络安全方面的经验. 我正在将HTTP设置为HTTPS重定向和HSTS. 现在，我正在Apache/mod_wsgi Web服务器上进行配置(我使用的是PaaS，因此我是通过WSGI根目录上的.htaccess文件进行配置的): wsgi/.htaccess # Redirect HTTP to HTTPS ..

发布时间：2020-06-18 19:16:01 django apache security https hsts 服务器开发

哪个浏览器使用哪个HSTS预加载列表?

我一直在使用HSTS预加载列表阅读有关Google和Firefox的各种信息. 似乎这里有一个通用列表: https://hstspreload.org/ 并且Chrome在这里使用了Chromium的其中一个: https://www.chromium.org/hsts/ ，Firefox在这里使用一个: https://dxr.mozilla.org/comm -central/so ..

发布时间：2020-06-18 19:15:59 google-chrome firefox https hsts 其他开发

春季启动:不发送HSTS标头

在开发环境中，我遇到了一个问题，即我的浏览器(Yandex)将OPTIONS请求重定向(307)到URL的https版本.由于我们没有设置SSL，因此请求失败，并显示错误Response for preflight is invalid (redirect). 解决方案如果未设置HTTPS，则不应读取HSTS值-浏览器必须忽略通过未加密的HTTP连接发送的HSTS. 如果您曾经拥有 ..

发布时间：2020-06-18 19:15:56 spring-boot xmlhttprequest hsts 其他开发

使用sails.js修改响应标头以实现HSTS

我正在使用 sails.js 实现nodejs应用程序.我希望我的用户仅通过https进行交流.因此，为此，我需要按照自己的方式配置服务器，以便在每个响应中添加一个标题"Strict-Transport-Security"，"max-age = 31536000"，以告知浏览器仅与HSTS进行通信. 现在如何修改将要从Sails js发送的每个响应标头.我搜索了文档，但没有找到任何帮助. 解 ..

发布时间：2020-06-18 19:15:54 node.js ssl express sails.js hsts 其他开发

使用Spring Boot应用程序启用HTTP Strict Transport Security(HSTS)

我关注了 https://docs.spring.io/spring-security/site/docs/4.0.2.RELEASE/reference/html/headers.html#headers-hsts 启用HSTS标头我的春季启动应用程序.尽管进行了必要的更改，但Strict-Transport-Security标头并未出现在响应中. pom.xml(依赖项) ..

发布时间：2020-06-18 19:15:51 java spring spring-boot spring-security hsts Java开发

HSTS预加载列表-www站点可能存在SEO问题

让我在这里解释一个现实世界的情况. 我运行网站 https://www.liloo.ro ，我想启用HSTS(+ HSTS预加载). 问题在于，为了将其提交到主域中的预加载列表 >必须使用HSTS标头进行响应. 让我更加精确: 为了将网站提交到预加载列表并满足要求，必须将第一个重定向重定向到主域的https版本. 在我的情况下，我无法从http直接重定向到https + w ..

发布时间：2020-06-18 19:15:49 ssl redirect https seo hsts 其他开发

在AWS ELB应用程序负载平衡器中启用HSTS

我们希望对我们的IIS部署的Web应用程序启用HSTS. 我们有SSL终止ELB应用程序负载平衡器.我们已经在IIS中启用了URL重写模块，并配置了x-Forward-Proto标记来决定并启用响应中的HSTS标头. 当前，ALB似乎没有将自定义标头从IIS传递到ALB，再传递给最终用户.我们想看看是否有一种方法可以在允许接受自定义标头的ALB级别启用HSTS，还是可以在IIS级别设置 ..

发布时间：2020-06-18 19:15:46 amazon-web-services ssl iis amazon-elb hsts 服务器开发

将HSTS功能添加到Tomcat

非常信任你。我的网络应用程序在tomcat 6.0.43上运行，不要在前面使用apache或nginx。我已经使用以下方式将我的网址从http重定向强制执行到https： URL重定向位于../ webapps / ROOT / index.jsp ..

发布时间：2018-12-25 21:59:00 java spring security tomcat hsts Java开发

hsts相关内容