創(chuàng)新互聯(lián)公司服務(wù)項(xiàng)目包括山亭網(wǎng)站建設(shè)、山亭網(wǎng)站制作����、山亭網(wǎng)頁(yè)制作以及山亭網(wǎng)絡(luò)營(yíng)銷(xiāo)策劃等��。多年來(lái)�,我們專注于互聯(lián)網(wǎng)行業(yè),利用自身積累的技術(shù)優(yōu)勢(shì)��、行業(yè)經(jīng)驗(yàn)��、深度合作伙伴關(guān)系等�����,向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案�,山亭網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前�����,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到山亭省份的部分城市�����,未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任��!
為HTTPS比HTTP安全得多�����。但是�����,如果您遇到“HSTS missing from HTTPS server”消息���,那么此協(xié)議可能會(huì)使您的站點(diǎn)處于危險(xiǎn)之中���。
幸運(yùn)的是,可以堵住這個(gè)嚴(yán)重的安全漏洞����。即使您沒(méi)有遇到此錯(cuò)誤消息,任何從HTTP重定向到HTTPS的站點(diǎn)都容易受到此漏洞的攻擊����。因此,采取積極主動(dòng)的方法并修復(fù)此缺陷仍然是明智之舉�。
在這篇文章中,我們將探討“HSTS missing from HTTP server”錯(cuò)誤是什么���,以及為什么它對(duì)任何使用HTTPS重定向的網(wǎng)站來(lái)說(shuō)都是一個(gè)如此嚴(yán)重的問(wèn)題����。然后����,我們將通過(guò)五個(gè)簡(jiǎn)單的步驟向您展示如何解決此問(wèn)題并阻止黑客。
“HSTS missing from HTTP server”錯(cuò)誤簡(jiǎn)介
為了幫助確保訪問(wèn)者的安全�����,網(wǎng)站執(zhí)行HTTPS重定向的情況并不少見(jiàn)。此重定向?qū)⒃L問(wèn)者從HTTP轉(zhuǎn)發(fā)到網(wǎng)站的HTTPS版本�。
用戶可以在其瀏覽器的地址欄中明確輸入HTTP,或點(diǎn)擊指向該站點(diǎn)HTTP版本的鏈接����。在這些情況下,重定向可以防止惡意第三方竊取訪問(wèn)者的數(shù)據(jù)��。
然而��,沒(méi)有什么技術(shù)是完美的��。如果您的站點(diǎn)確實(shí)使用HTTPS重定向����,那么您可能容易受到稱為安全套接字層 (SSL) 剝離的中間人 (MITM) 攻擊�����。作為此攻擊的一部分��,黑客將阻止重定向請(qǐng)求并阻止瀏覽器通過(guò)HTTPS協(xié)議加載您的站點(diǎn)���。結(jié)果�����,訪問(wèn)者將通過(guò)HTTP訪問(wèn)您的網(wǎng)站����,這使黑客更容易竊取數(shù)據(jù)。
或者�,攻擊者可能會(huì)攔截重定向并將訪問(wèn)者轉(zhuǎn)發(fā)到您網(wǎng)站的克隆版本。此時(shí)�����,黑客可以竊取用戶共享的任何數(shù)據(jù)�����,包括密碼和支付信息���。一些黑客還可能試圖誘騙訪問(wèn)者下載惡意軟件�。
黑客也有可能通過(guò)不安全的連接竊取會(huì)話cookie��,這種攻擊稱為cookie劫持���。這些cookie可以包含大量信息��,包括用戶名��、密碼���,甚至信用卡詳細(xì)信息���。
為了保護(hù)您的訪問(wèn)者免受這些攻擊,我們建議啟用HTTP嚴(yán)格傳輸安全 (HSTS)�����。此協(xié)議強(qiáng)制瀏覽器忽略任何直接請(qǐng)求并通過(guò)HTTPS加載您的站點(diǎn)����。
HSTS協(xié)議(以及您可能想要使用它的原因)
HSTS是一個(gè)服務(wù)器指令和網(wǎng)絡(luò)安全策略�����。由Internet工程任務(wù)組 (IETF) 在RFC 6797中指定���,HSTS為用戶代理和Web瀏覽器應(yīng)如何處理通過(guò)HTTPS運(yùn)行的站點(diǎn)的連接設(shè)置了規(guī)定��。
有時(shí)���,IT安全掃描可能會(huì)報(bào)告您的站點(diǎn)“缺少HSTS”或“HTTP嚴(yán)格傳輸安全”標(biāo)頭���。如果您遇到此錯(cuò)誤,則說(shuō)明您的網(wǎng)站未使用HSTS���,這意味著您的HTTPS重定向可能會(huì)使您的訪問(wèn)者面臨風(fēng)險(xiǎn)��。
這被歸類(lèi)為中等風(fēng)險(xiǎn)漏洞���。然而,它非常普遍����,對(duì)攻擊者來(lái)說(shuō)是唾手可得的成果。如果您遇到此錯(cuò)誤��,那么解決它至關(guān)重要���。
通過(guò)將HSTS安全標(biāo)頭添加到您的服務(wù)器��,您可以強(qiáng)制您的站點(diǎn)加載HTTPS協(xié)議�。這有助于保護(hù)您的網(wǎng)站免受cookie劫持和協(xié)議攻擊。由于您可能會(huì)從加載過(guò)程中刪除重定向����,因此您的網(wǎng)站也可能加載得更快。
您可能沒(méi)有遇到此錯(cuò)誤����,但仍然擔(dān)心HSTS。如果您不確定是否啟用了HSTS��,您可以使用諸如Security Headers之類(lèi)的工具掃描您的站點(diǎn)���。只需輸入您網(wǎng)站的URL��,然后單擊Scan���。
使用Security Headers掃描您的站點(diǎn)
安全標(biāo)頭將檢查您的站點(diǎn)并在標(biāo)頭部分顯示所有應(yīng)用的標(biāo)頭。如果Strict-Transport-Security出現(xiàn)��,則您的站點(diǎn)受到保護(hù)�。但是����,如果未列出此標(biāo)頭�����,那么我們還有一些工作要做��。
如何修復(fù)“HSTS Missing From HTTP Server”錯(cuò)誤
對(duì)于黑客來(lái)說(shuō)����,HSTS漏洞是竊取數(shù)據(jù)或誘騙訪問(wèn)者執(zhí)行危險(xiǎn)操作的絕佳機(jī)會(huì)�����。以下是啟用HSTS政策并確保您的網(wǎng)站安全的方法����。
步驟 1:創(chuàng)建手動(dòng)備份
啟用HSTS政策意味著您的網(wǎng)站發(fā)生了重大變化。因此�����,我們建議在繼續(xù)之前創(chuàng)建按需備份�����。這使您可以選擇在啟用HSTS時(shí)遇到任何問(wèn)題的情況下恢復(fù)您的站點(diǎn)����。
在寶塔面板����,您可以設(shè)置WordPress備份計(jì)劃����。但是,在進(jìn)行任何重大更改之前創(chuàng)建手動(dòng)備份仍然是明智之舉���。要?jiǎng)?chuàng)建此安全網(wǎng)���,請(qǐng)登錄您的寶塔儀表盤(pán)。然后����,單擊左側(cè)的“網(wǎng)站”菜單,找到你需要備份的網(wǎng)站對(duì)應(yīng)的備份操作�,然后在彈窗中點(diǎn)擊“備份站點(diǎn)”。
在寶塔面板執(zhí)行網(wǎng)站備案操作
接下來(lái)���,進(jìn)行網(wǎng)站數(shù)據(jù)庫(kù)備份����,選擇數(shù)據(jù)庫(kù)菜單項(xiàng)����。找到你需要備份的站點(diǎn)對(duì)應(yīng)的數(shù)據(jù)庫(kù),點(diǎn)擊備份列對(duì)應(yīng)的操作項(xiàng)���,然后單擊彈窗的備份數(shù)據(jù)庫(kù)按鈕�。
備份網(wǎng)站數(shù)據(jù)庫(kù)
這樣����,您即對(duì)網(wǎng)站完成了網(wǎng)站文件及數(shù)據(jù)庫(kù)的備份操作。
步驟 2:設(shè)置HTTP到HTTPS重定向
在啟用HSTS策略之前���,您需要將SSL證書(shū)部署到您的網(wǎng)站���。在寶塔面板,你可以直接申請(qǐng)部署證書(shū)��。除非您特別需要自定義證書(shū)��,否則您不必?fù)?dān)心手動(dòng)配置SSL��。
點(diǎn)擊寶塔面板左側(cè)的“網(wǎng)站”菜單項(xiàng)����,然后找到你需要配置SSL的網(wǎng)站�,點(diǎn)擊操作項(xiàng)“設(shè)置”��,點(diǎn)擊彈窗左側(cè)的“SSL”�,然后根據(jù)需要申請(qǐng)及部署SSL,其中寶塔SSL和Let’s Encrypt的證書(shū)均免費(fèi)�����,前者需要實(shí)名認(rèn)證����。
然后你必須開(kāi)啟右上角的強(qiáng)制HTTPS,才可以實(shí)現(xiàn)將HTTP重定向至HTTPS���。
請(qǐng)注意��,如果您使用任何第三方代理或設(shè)置任何自定義HTTPS規(guī)則���,那么強(qiáng)制HTTPS可能會(huì)導(dǎo)致錯(cuò)誤或其他奇怪的行為。
如果您的Web服務(wù)器正在運(yùn)行Nginx��,那么您可以將所有HTTP流量重定向到HTTPS。只需將以下代碼添加到您的Nginx配置文件中:
server {
listen 80;
server_name domain.com www.domain.com;
return 301 https://domain.com$request_uri;
}
步驟 3:添加HSTS標(biāo)頭
您可以將各種類(lèi)型的指令和安全級(jí)別應(yīng)用于HSTS標(biāo)頭���。但是��,我們建議添加max-age指令,因?yàn)樗x了Web服務(wù)器應(yīng)通過(guò)HTTPS提供的時(shí)間(以秒為單位)�����。這會(huì)阻止訪問(wèn)只能通過(guò)HTTP提供的頁(yè)面或子域�����。
如果您使用的是Apache服務(wù)器���,則需要打開(kāi)您的虛擬主機(jī)文件�。然后���,您可以添加以下內(nèi)容:
Header always set Strict-Transport-Security max-age=31536000
如果您使用的是NG服務(wù)器��,那么您可以將以下內(nèi)容添加到您的Nginx配置文件中:
add_header Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
與往常一樣�,我們可以為您完成所有艱苦的工作�����。只需打開(kāi)支持票證,請(qǐng)求我們將HSTS標(biāo)頭添加到您的站點(diǎn)���。我們的團(tuán)隊(duì)很樂(lè)意對(duì)您的Nginx文件進(jìn)行此更改����。
步驟 4:將您的網(wǎng)站提交到HSTS預(yù)加載列表
HSTS政策有一個(gè)主要缺點(diǎn)�。瀏覽器必須至少遇到一次HSTS標(biāo)頭,然后才能將其用于將來(lái)的訪問(wèn)����。這意味著您的受眾將需要至少完成一次HTTP到HTTPS 重定向過(guò)程。在此期間���,它們將容易受到基于協(xié)議的攻擊��。
為了彌補(bǔ)這個(gè)安全漏洞���,谷歌創(chuàng)建了HSTS預(yù)加載列表。這列出了所有支持HSTS的網(wǎng)站���,然后將其硬編碼到Chrome中�����。通過(guò)將您的站點(diǎn)添加到此列表中�����,訪問(wèn)者將不再需要完成初始HTTPS重定向�����。
大多數(shù)主要的互聯(lián)網(wǎng)瀏覽器都有自己的HSTS預(yù)加載列表���,這些列表基于Chrome的列表。要獲得此列表的資格��,您的網(wǎng)站必須符合提交標(biāo)準(zhǔn)����。好消息是我們已經(jīng)涵蓋了所有這些要求,因此您可以繼續(xù)將您的網(wǎng)站提交到HSTS預(yù)加載列表�����。
一旦您進(jìn)入此列表�����,一些搜索引擎優(yōu)化 (SEO) 工具可能會(huì)警告您有關(guān)307重定向。當(dāng)有人試圖通過(guò)不安全的HTTP協(xié)議訪問(wèn)您的站點(diǎn)時(shí)��,就會(huì)發(fā)生這些重定向��。這會(huì)觸發(fā)307重定向而不是永久301重定向����。如果您對(duì)此感到擔(dān)憂,可以使用httpstatus掃描您的站點(diǎn)并驗(yàn)證是否發(fā)生 301 重定向�����。
步驟 5. 驗(yàn)證您的Strict-Transport-Security標(biāo)頭
添加HSTS標(biāo)頭后����,最好測(cè)試它是否正常運(yùn)行。您可以使用瀏覽器的內(nèi)置 Web 工具執(zhí)行此檢查�。
這些步驟將根據(jù)您選擇的Web瀏覽器而有所不同。要執(zhí)行此操作�����,請(qǐng)檢查Google Chrome DevTools�,導(dǎo)航到您要測(cè)試的網(wǎng)頁(yè)�。然后����,您可以單擊任何空白區(qū)域,然后選擇檢查�。
閃電博主頁(yè)
在隨后的面板中,選擇Network選項(xiàng)卡����。然后,您可以檢查Headers部分���,該部分應(yīng)包含以下內(nèi)容:
strict-transport-security: max-age=31536000
或者,您可以使用安全標(biāo)頭工具掃描您的站點(diǎn)�。和以前一樣,只需輸入您網(wǎng)站的URL��,然后單擊Scan�����。這將返回一個(gè)安全報(bào)告�����,其中應(yīng)包含一個(gè)strict-transport-security標(biāo)簽。如果此標(biāo)記存在���,那么您的HSTS標(biāo)頭現(xiàn)在已正確設(shè)置�,并且您已成功關(guān)閉HTTPS重定向漏洞���。
小結(jié)
從HTTP重定向到HTTPS是一種安全最佳實(shí)踐�。但是��,沒(méi)有任何技術(shù)是完美的���,這種重定向可能會(huì)使您的網(wǎng)站更容易受到SSL攻擊����。
考慮到這一點(diǎn)����,讓我們回顧一下如何修復(fù)“HSTS Missing From HTTPS Server”錯(cuò)誤:
網(wǎng)站欄目:如何修復(fù)“HSTSMissingFromHTTPSServer”錯(cuò)誤
文章分享:
http://uogjgqi.cn/article/cdeogdo.html
