为什么我无法为受 HSTS 保护的站点添加安全例外?

为什么我无法为受 HSTS 保护的站点添加安全例外?

我有两个网络应用程序。

两者都用于在反向代理场景中进行测试。

两者都使用 SAN 证书(主体备用名称)。

1 允许添加安全例外,其他则不允许。

允许仅在一个页面中添加 HSTS 标头的 PHP 代码本身:

<?php header("strict-transport-security: max-age=600"); ?>

其他的-不知道,我无法访问源代码。

了解为什么 1 可以例外而另一个不能例外的可能原因对我非常有帮助。谢谢。

在此处输入图片描述在此处输入图片描述

答案1

HSTS 被 Web 服务器或 Web 应用程序的操作员用来更好地防范中间人攻击。它通过以下方式尝试防范中间人攻击

  • 将 HTTPS 链接替换为 HTTP,即sslstrip攻击:浏览器将不允许 HTTP 访问它知道(从之前的访问中)该网站强制使用 HTTPS。
  • SSL 中间人使用伪造的证书,希望用户只需添加例外即可“获得免费的 iPad”或使用任何类型的社会工程:这是通过拒绝 HSTS 网站此例外来实现的。

因此,这些限制是网站运营商的明确选择,以便为非技术用户提供更好的安全性。

相关内容