我有两个网络应用程序。
两者都用于在反向代理场景中进行测试。
两者都使用 SAN 证书(主体备用名称)。
1 允许添加安全例外,其他则不允许。
允许仅在一个页面中添加 HSTS 标头的 PHP 代码本身:
<?php header("strict-transport-security: max-age=600"); ?>
其他的-不知道,我无法访问源代码。
了解为什么 1 可以例外而另一个不能例外的可能原因对我非常有帮助。谢谢。
答案1
HSTS 被 Web 服务器或 Web 应用程序的操作员用来更好地防范中间人攻击。它通过以下方式尝试防范中间人攻击
- 将 HTTPS 链接替换为 HTTP,即sslstrip攻击:浏览器将不允许 HTTP 访问它知道(从之前的访问中)该网站强制使用 HTTPS。
- SSL 中间人使用伪造的证书,希望用户只需添加例外即可“获得免费的 iPad”或使用任何类型的社会工程:这是通过拒绝 HSTS 网站此例外来实现的。
因此,这些限制是网站运营商的明确选择,以便为非技术用户提供更好的安全性。