Описание тега hsts
HTTP Strict Transport Security (HSTS) is a web security policy mechanism whereby a web server declares that complying user agents are to interact with it using only secure HTTPS connections.
1
ответ
Какой ключ используют браузеры для шифрования HTTPS-запросов на предварительно загруженные сайты HSTS?
Насколько я знаю, HTTPS-запросы - это обычные HTTP-запросы, зашифрованные с помощью открытого ключа, предоставленного сервером во время первоначального рукопожатия. Я читал о HSTS, но не смог найти ничего, связанного с открытым ключом сайтов, которы…
18 дек '17 в 21:56
1
ответ
Что произойдет, если я предварительно загрузил HSTS с ненужным заголовком HSTS через HTTP?
Страница HTTP на моем сайте отправляет заголовок HSTS. Это не влияет на HTTP и должно быть удалено. Но что, если я решу не устранять ошибку и предварительно загрузить мой сайт через форму предварительной загрузки HSTS? Что просходит?
13 фев '18 в 22:04
1
ответ
HSTS понимание
Я заинтересован в механизме HSTS и хочу уточнить следующий момент: Например, есть сайт https://example.com/ существует. Я использую http://chrome//net-internals/, чтобы проверить, включен ли там HSTS. И это показывает следующую информацию: static_st…
24 май '18 в 08:07
1
ответ
Поддерживается ли строгая транспортная безопасность (HSTS) libcurl?
AFAIK HSTS - это свойство на стороне сервера, которое сообщает браузеру, что он должен работать только с https-запросом на этом сервере (поправьте меня, пожалуйста, если я не прав). HSTS не поможет в случаях перенаправления с http на https, в этот п…
10 июл '16 в 13:44
0
ответов
Как устранить ошибку несоответствия SSL Version\Cipher после обновления веб-сервера Jetty?
Я обновил версию сервера Jetty в своем приложении с 9.3.6.v20151106 в 9.4.6.v20170531, Это было сделано, чтобы получить поддержку HSTS и другие возможные улучшения. Однако после внесения изменений я не могу запустить пользовательский интерфейс моего…
31 авг '17 в 12:32
0
ответов
Почему браузеры жалуются на небезопасные ресурсы на странице HSTS
Я только что стал свидетелем (для меня) странного поведения браузера, которое я не совсем понимаю. После того, как я настроил Nginx для поддержки HSTS, я протестировал один vhost со следующим index.html: <p>Internal Source:</p> <img s…
22 мар '17 в 14:22
0
ответов
Обход сайтов HSTS в squid
После битвы я создал прозрачный прокси с squid, squidguard и privoxy. Это работает довольно хорошо, на удивление также для сайтов https. К сожалению, производительность не слишком хорошая, но я полагаю, что атака "человек посередине" - это большая р…
27 апр '18 в 19:04
1
ответ
Я хочу получить доступ к своему пользовательскому домену без использования https
Я хочу получить доступ к пользовательскому домену без использования https. Я хочу получить доступ к " http://my_domain.com/" Удалите "безопасный" или измените его на "никогда" в app.yaml, но он будет перенаправлен на "https" без разрешения.
07 май '17 в 03:18
2
ответа
Почему RFC 6797 запрещает отправку заголовка Strict-Transport-Security поверх простых HTTP-ответов?
При чтении спецификации для HSTS (Strict-Transport-Security) в разделе 7.2 я вижу запрет на отправку заголовка при доступе через http вместо https: Хост HSTS НЕ ДОЛЖЕН включать поле заголовка STS в ответы HTTP, передаваемые по незащищенному транспор…
26 сен '16 в 21:16
4
ответа
Куки не доступны в JavaScript (и в инструментах разработки), но отправляются вместе с запросом XHR (httponly не используется)
Я использую как интерфейсное, так и фоновое приложение в другом домене с авторизацией на основе сеанса. Я настроил рабочую конфигурацию CORS, которая работает как положено на localhost (например, из порта :9000 в порт :8080). Как только я развертыва…
20 сен '17 в 12:38
1
ответ
hsts, 301s http www to https:// канонический htaccess
Комментарий 1: я новичок в stackru, я на самом деле не программист, поэтому, пожалуйста, прости меня, если я делаю это неправильно. (Я очень кричу "Черт возьми, Джим, я доктор, а не кодер!" Прямо сейчас) Комментарий 2: Я пытался сделать свою домашню…
20 окт '16 в 12:29
2
ответа
Есть ли способ очистить HSTS без сертификата SSL?
Недавно я переключил сервер для своего сайта, и мне удалось потерять расшифрованный ключ SSL, и я не могу вспомнить пароль для зашифрованного. Оказалось, что сервер включил HSTS, и теперь многие посетители не могут загрузить страницы, так как у меня…
27 апр '15 в 07:48
1
ответ
Невозможно просмотреть localhost из-за HSTS common_name_invalid
На прошлой неделе мне удалось без проблем создать и запустить локальный веб-сайт.NET. Однако за последние пару дней мне не удалось обойти эту ошибку: ERR_CERT_COMMON_NAME_INVALID Это сообщение об ошибке появляется как в Chrome, так и в Firefox. Edge…
02 май '17 в 14:14
3
ответа
Добавление заголовков HSTS в app.yaml (Google App Engine)
У меня есть следующий раздел обработчиков в моем app.yaml: handlers: - url: /(robots\.txt|sitemap\.xml) static_files: \1 upload: (robots\.txt|sitemap\.xml) secure: always http_headers: Strict-Transport-Security: 'max-age=63072000; includeSubDomains;…
17 сен '16 в 07:36
0
ответов
Приложение NetCore с HSTS не работает при размещении в IIS
Я получаю следующую ошибку при размещении веб-приложения NETCore в ISS, которое включает HSTS. "IDX20803: Невозможно получить конфигурацию из: '[PII скрыт]'" Я сижу на этом вопросе в течение нескольких дней и пробую различные варианты, предложенные …
04 янв '19 в 14:51
0
ответов
HTTP перенаправляет на страницу без HSTS
Я использую https://hstspreload.org/ для проверки состояния перенаправления HTTP на HTTPS и HSTS. Я получаю следующее сообщение об ошибке: HTTP перенаправляет на страницу без HSTS http://example.com перенаправляет на https://example.com/, который не…
04 янв '18 в 03:36
1
ответ
Удалить запись из списка HSTS в Internet Explorer
Я борюсь с этой проблемой некоторое время, и я, кажется, не могу найти никакого ответа. Знаете ли вы, есть ли способ удалить запись из списка HSTS в Internet Explorer 11? Я ищу что-то подобное с chrome "chrome://net-internals/#hsts". Благодарю.
18 ноя '15 в 16:35
1
ответ
Отправлен заголовок Strict-Transport-Security, но Chrome все еще запрашивает через http
Я запускаю новый сайт в Google App Engine с настраиваемым доменом и хочу, чтобы весь трафик проходил через https. Я создал тестовый скрипт на http://rublonde.com/tmp: <? header("Strict-Transport-Security: max-age=180; includeSubdomains"); print $…
16 дек '18 в 22:43
2
ответа
Удаление Chrome HSTS для facebook.com не работает
В настоящее время я делаю отладку на своем веб-сайте, которая включает вызов API Facebook. Я установил dnsmasq для работы с моим Mac OS X, чтобы перенаправить все запросы на facebook.com на 127.0.0.1 У меня есть эхо-сервер, который распечатает весь …
20 дек '16 в 09:44
1
ответ
Обходной путь HSTS для Chrome для Dev Environment
Мы ищем способ, чтобы Chrome обошел требования HSTS для нашей среды разработки. Мы работаем над проектом для https://foo.com/. В наших организациях внутренние dns у нас есть записи DNS для foo.com.dev, которые указывают на наш внутренний dev-сервер,…
11 апр '18 в 15:30