【发布时间】:2013-03-28 14:01:13
【问题描述】:
我曾经在某处读过一篇文章,但我现在找不到它(你不讨厌那个吗!!!!!!),它记录了一种安全地请求提升到 HTTPS 服务器端的方法。我记得它说它解决了中间人攻击在正常重定向方法下停止提升的一些问题。我很确定我记得他们使用 HTTP 标头,但不记得它是什么或他们是如何做到的。有没有人听说过我在说什么或者我可以在哪里找到这篇文章?
【问题讨论】:
【发布时间】:2013-03-28 14:01:13
【问题描述】:
您要查找的标头是Strict-Transport-Security。在Mozilla's docs
语法:
Strict-Transport-Security: max-age=expireTime [; includeSubdomains]
当然,此标头仅在您已经在 HTTPS 连接上时才有效,因此您仍然需要进行初始重定向。
【讨论】:
-
另一方面,有没有办法检测浏览器对 HTTPS 的支持,然后使用位置重定向,然后发送该标头?我想对我们的用户“温和地”强制使用 HTTPS。我不想进行 URL 重写,因为有些人只是不关心 SSL,要么禁用它,要么拥有一个非常非常旧的浏览器。
-
您可能会使用
<script src="https://<site>/redirect.js">javascript 重定向。甚至可以在禁用 javascript 的情况下工作,因为标头会被设置。