从 HTTP 到 HTTPS 再到 HSTS

前言我的博客是在三个月前就完成了 HTTPS 加密工作,方式嘛,和大多数网站类似,是将 HTTP 的请求 301 跳转至 HTTPS,这样虽然可以让用户即使输入的不包含 HTTPS 的网址,也可以跳转至 HTTPS。但是当你输入的是域名(不带 HTTP 或 HTTPS )时,浏览器会自动帮助你填充的是 HTTP 而不是 HTTPS。 虽然正常情况你会跳转至 HTTPS,但是啊但是目前有一种称为「降级攻击」的技术(具体原理自行查阅),我这里简单说一下后果:这种技术是借助中间人发动的攻击,中间人会在浏览器和目标网站之间尝试拦截跳转至 HTTPS 的内容,将浏览器重定向至受攻击者控制的服务器,这也就是我们所说的「HTTP 请求劫持」。 那么怎么预防呢? 在每个域名之前手动输入 https:// 网站启用 HSTS 第一种每次都要手写输入,自然很麻烦,第二点也就是本文所说的。     阅读全文
WincerChan's avatar
WincerChan 9月 13, 2017