如何解决hsts预加载如何在后端工作
如果在预加载列表中注册了我的网站,我知道hsts(从http到https)从头开始就会起作用。 另一方面,我也在Web服务器的hsts标头中声明了预加载。
如果我第一次使用http访问我的网站该怎么办? 我的意思是网站将首先访问预加载列表还是首先访问Web服务器?
解决方法
您需要将网站提交到浏览器的预加载列表。然后它将发布预加载标头(以防止不良行为者在不需要的站点上将站点提交到预加载列表中),并将其包含在将来的版本中的内置列表中。
某些浏览器还会定期扫描或爬网网站,以查找包含预加载标头的网站。尽管我相信这样做的工作量较小,但最好明确地提交您的网站。
将网站包含在浏览器的预加载列表中后,对http://版本的请求将自动转换为https://。这是在发送请求之前发生的,因此在您获得HSTS标头响应之前。
这就是预加载的目的-在您发出单个请求之前就可以保护您。
我个人不喜欢预加载。对浏览器中的网站列表进行硬编码会带来明显的扩展问题,但更重要的是,当您这样做时,您将承担一些风险,如果不等待浏览器供应商等待数月甚至数年的时间就无法恢复原来的内容设置以删除代码。我个人认为,对于大多数网站来说,预加载是多余的。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
