ag亚洲集团官网|优惠教程网

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 640|回复: 0
打印 上一主题 下一主题

ag亚洲集团官网|优惠在https请求的安全配置问题

[复制链接]

6

主题

6

帖子

30

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
30
跳转到指定楼层
楼主
发表于 2019-5-22 18:00:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
使用HTTPS已经是当今保护信息在传输过程中不被泄露的标准配置了。然而事情并没有这么简单,即使是服务器端开启了HTTPS,也还是存在安全隐患,黑客可以利用SSL Stripping这种攻击手段,强制让HTTPS降级回HTTP,从而继续进行中间人攻击。

问题的本质在于浏览器发出去第一次请求就被攻击者拦截了下来并做了修改,根本不给浏览器和服务器进行HTTPS通信的机会。大致过程如下,用户在浏览器里输入URL的时候往往不是从https://开始的,而是直接从域名开始输入,随后浏览器向服务器发起HTTP通信,然而由于攻击者的存在,它把服务器端返回的跳转到HTTPS页面的响应拦截了,并且代替客户端和服务器端进行后续的通信。由于这一切都是暗中进行的,所以使用ag亚洲集团官网|优惠应用的用户对此毫无察觉。

解决这个安全问题的办法是使用HSTS(HTTP Strict Transport Security),它通过下面这个HTTP Header以及一个预加载的清单,来告知浏览器在和网站进行通信的时候强制性的使用HTTPS,而不是通过明文的HTTP进行通信:
Strict-Transport-Security: max-age=; includeSubDomains; preload

Strict-Transport-Security: max-age=; includeSubDomains; preload
这里的“强制性”表现为浏览器无论在何种情况下都直接向服务器端发起HTTPS请求,而不再像以往那样从HTTP跳转到HTTPS。另外,当遇到证书或者链接不安全的时候,则首先警告用户,并且不再让用户选择是否继续进行不安全的通信。


您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|ag亚洲集团官网|优惠教程网

GMT+8, 2019-11-23 08:19环亚娱乐ag88平台|注册 , Processed in 0.096622 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表