問題タブ [hsts]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
apache - htaccessまたはhttpd.confを使用してApacheにhstsヘッダーを配置する
最近 SSL 証明書を購入し、すべてのトラフィックを安全な https の方法でリダイレクトしましたが、hsts プリロード リストに含めたいと考えています。そのため、hsts ヘッダーを含めたいと考えています。.htaccess または httpd.conf を使用する方法はありますか、または別の方法がある場合は詳しく教えてください
hsts - CSP ヘッダーと HSTS ヘッダーを比較する価値はありますか?
HSTS ヘッダーを Web アプリケーションに追加するプロジェクトに取り組んでいます。
そのための準備として、default-src https ディレクティブのみを使用してレポート モードで CSP ヘッダーを追加しました。その目的は、違反を評価し、HSTS ヘッダーを追加するとユースケースが壊れるかどうかを判断することです。
質問:
- それは価値のあるアプローチですか?
- このアプローチでは、HSTS で見逃してしまうシナリオは何ですか?
- 上記で説明したものと異なる場合、推奨されるアプローチは何ですか?
security - HSTS のポート リダイレクトを処理する方法
現在、新しい個人サーバーをセットアップ中です。私はHSTS(EFFに感謝します!)とNginxに実装する手順(例:こちら)について読んでいます。
私がはっきりと綴られていないのは、最初のリダイレクトを処理する方法です。ポート 80 で静的なエラー コンテンツを提供し、HTTPS で実際のサイトにリダイレクトしますか?
私がこれまでに読んだ多くのことは、HTTP からサービスを提供するとサイトが MITM 攻撃に対して脆弱になることを示唆しています。インスタンス化された Cookie に Secure フラグが設定されていれば問題ないと言う人もいます。もちろん、私は一般人であり、プリロードされた HSTS サイト リストには含まれていないので、それは除外します。
ここでの取引は何ですか?サイト訪問者の利便性のためにポート 80 を提供してリダイレクトする必要がありますか?それとも、訪問者を攻撃にさらしているのでしょうか?
完全な開示: 取引による非運用、および安全でないコンテンツが提供されている、学習の機会を備えた空腹の心。
internet-explorer - IE で HSTS を削除して、ブラウザでサポートされている場合に https へのリダイレクトをテストし、サブドメインでも問題ない
状況
サイトを https に転送する必要がありますが、それほど重要ではないサブドメインは https をサポートしていません。メインページを開くときにサポートされているドメインにこのヘッダーを追加する機能はすでに作成されており、Opera、Chrome、および FireFox でテストおよび動作しています。しかし、いつものように - IE でもテストする必要があります。
問題
ブラウザでこのサイトの Secure-Transport-Security ヘッダーを削除してテストできるようにする解決策が見つかりませんでした。
質問
Chrome のように IE で保存された Strict-Transport-Security ヘッダーを削除する方法は、この自動リダイレクトをテストするための 'chrome:net-intenrals/#hsts' ですか?
c# - HSTS 実装時の SSL エラー
最近 http から https に移動され、デフォルト ポートにある自分の Web サイト (例: www.example.com) に HSTS を実装しようとしています。また、同じドメインで別のポート (例: www.example.com:8000) で実行されている WCF サービスがあります。
私がやろうとしたことは、Web.configファイルに次のコードを追加することです
そして後で、ここからこのコードを試しました(上記の実装が間違っていると言われたため)
私のウェブサイト www.example.com は正常に動作します。しかし、www.example.com にアクセスすると、応答ヘッダー Strict-Transport-Security がキャッシュされ、WCF サービス ページにアクセスしようとすると、https にリダイレクトされ、サービスが 8000 ポートで実行されているため、「SSL エラー」が発生します。
注: キャッシュをクリアして同じサービス ページにアクセスすると、ページが表示されます。
ポート 8000 で行われた呼び出しの https へのリダイレクトを停止するにはどうすればよいですか?
google-chrome - Non-Authoritative-Reason ヘッダー フィールド [HTTP]
応答ヘッダーがある場合、それが何を意味するのかを見つけるのに苦労していますNon-Authoritative-Reason : HSTS
私はたくさん検索しましたが、HSTS (HTTP から HTTPS へのリダイレクト) についていくつかの説明を思いつきました。誰でもそれで私を助けることができますか?ちなみに私はChromeを使っています。
ありがとう
javascript - HSTS と Javascript を使用したサブドメインへのアクセス
数週間前、ホームページを https のみに移行し、HSTS も有効にしました。あるページには、http リクエストを介してサブドメインからコンテンツを取得する JavaScript コードがいくつかあります。https が有効になる前は、これはうまく機能していました。また、javascript コードで http プロトコルを https に変更しました。しかし、これは解決策ではありませんでした。
HTTPS はサブドメインへのアクセスを制限しますか、それとも HSTS ですか?
サブドメインへのアクセスを許可する方法はありますか?
JavaScriptコードは次のとおりです。
そして、これは HSTS ヘッダーです。