HTTPS 和 HSTS 标头问题

HTTPS 和 HSTS 标头问题

在我的场景中,我们目前有 www3.example.com 通过几条不同的路径进行路由。您能否建议我们应该如何纠正这个问题,以采用更好的方法,甚至可能只是重定向?

“HTTP 站点以无法使用 HTTPS 和 HSTS 标头保护的方式将用户重定向到新的 URL。这使用户容易受到中间人攻击者的攻击,攻击者可以将用户重定向到目标站点的欺诈/欺骗版本。

有关中间人攻击场景的更多信息,请参阅“站点未强制实施 HTTPS”问题类型。”

"http://www3.example.com/, 301, https://example.com/"

但我们不需要这个域名,所以最好直接转到www.example.com而不是重新路由,而是想到了 cname 或负载均衡器。

实现这一目标的最佳方法是什么?

答案1

最好的方法是从您的 HTTP 站点进行简单的 301 重定向到 HTTPS 站点,最好是到最终目的地。

因此不要这样做:

HTTP(ww3) => HTTPS(ww3) => HTTPS (www)

直接联系:

HTTP(ww3) => HTTPS (www)

就 HTTP 的本质而言,您无法确保其安全。另一种方法是完全放弃 HTTP 站点。但是,您会失去来自搜索引擎的流量,而且如果您有经常浏览该站点的客户,这将带来糟糕的用户体验。301 重定向是实现您所需目的的最佳方法。

另外,我建议您检查 HTTPS 网站的安全性。Mozilla 天文台是一个很好的起点,因为它将为您执行许多检查。其他要检查的工具包括安全标头网站和SSL 工具实验室

相关内容