問題タブ [hsts]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
hsts - 私のサイトが「応答に HSTS ヘッダーが存在しない」と見なされる理由
ウェブサイトをサポートしています
で設定されたすべての要件に従いました
https://hstspreload.appspot.com
しかし、ステータスと適格性を確認するために somesite.com に入ると、次のエラーが表示されました。
weblogic - weblogicサーバーでHSTS(HTTP Strict-Transport-Security)を有効にするにはどうすればよいですか
Web サイトの http リクエストを https に変換したいと考えています。すでに SSL 証明書を取得していますが、アプリケーションの有効な暗号化をバイパスする可能性があり、証明書を取得した後、アプリケーションは安全でない接続を介したアクセスを防ぐことができません
apache - https にリダイレクトする http リバース プロキシに対する Strict-Transport-Security の影響
サーバーの応答には HSTS ヘッダーが付いています。リバース プロキシを使用しているため、HSTS ヘッダーもプロキシ応答を介して送信されます。異なるドメイン (プロキシとサーバー) があるため、HSTS はブラウザーに自動的にスキーマをhttp://proxyhost.comからhttps://proxyhost.comに変更させますか? または、ユーザーがhttp://proxyhost.comを要求すると、プリロード リストは自動的にhttps://serverhost.comを呼び出しますか?
google-chrome - Chrome HSTSキャッシュをクリアするには?
Bg: 最近ホスト管理ツールを開発していて、ボタンをクリックして chrome-browser の HSTS キャッシュを自動削除する機能を実現したいと思っています。Python スクリプトを実行して、クロムの HSTS キャッシュ ファイルを削除します。しかし...そのファイルの削除が完了したら、クロムを再起動する必要があり、その後、このクリア操作が機能します(クロムがファイルを読み取ってキャッシュに保存する可能性がありますか?)
質問: hsts-auto をクリアする方法はありますか? chrome://net-internals/#hsts を開く必要はありませんか、または私の方法を使用して chrome-browser を再起動する必要はありませんか?
THX〜
security - RFC 6797 がプレーンな HTTP 応答での Strict-Transport-Security ヘッダーの送信を禁止しているのはなぜですか?
HSTS (Strict-Transport-Security) の仕様を読んでいると、セクション 7.2に、https ではなく http 経由でアクセスしたときにヘッダーを送信することに対する差し止め命令が表示されます。
HSTS ホストは、非セキュアなトランスポートを介して伝達される HTTP 応答に STS ヘッダー フィールドを含めてはなりません。
どうしてこれなの?これに違反した場合、どのようなリスクがありますか?
spring-security - spring oauth2 トークン API で HTTP Strict Transport Security (HSTS) 応答ヘッダーを削除する
API プロジェクトで Spring Security と Spring Oauth2 および JWT を使用してい
ます Spring oauth 2 が提供するログイン用のデフォルト API は /oauth/token です
この API は、常に "Strict-Transport-Security: max-age=31536000 ; includeSubDomains" ヘッダーを応答に追加します。しかし、私は自分の状況ではこれを望んでいません。そして、以下のソースコードで HSTS を削除しました。
上記のコードでは、定義した API はヘッダーの HSTS を削除しています。ただし、デフォルトの API /oauth/token は依然としてヘッダーで HSTS を返します。これを行う方法はありますか?助けてください。
ありがとう、ティン
.htaccess - hsts、301s http www から https:// canonical htaccess
コメント 1: 私は stackoverflow を初めて使用します。実際にはプログラマーではありません。間違っている場合はご容赦ください。(私は今、「くそジム、私は医者であり、コーダーではありません!」と大声で叫んでいます)
コメント 2: 宿題をしようとしましたが、プログラマーではない限り、質問に対する正確な答えを見つけるのに苦労しました。私が何かを見逃した場合は、お知らせください。これが誰の時間の無駄でもないことを願っています。
最終的な目標は、ウェブサイトをスピードアップして安全にすることです。それはすべてhttpsを経由する必要があります。
テスターに「https://」を直接入力すると、(ワードプレス) Web サイトの速度テストがはるかに高速であることに気付きました (読み込み時間 = 1 ~ 2 秒 vs 5 ~ 8 秒)。ウォーターフォールは、https への http リダイレクトを取得するのに長い時間がかかることを示しています (現在、.htaccess にリダイレクトがまったくリストされていないため、これは理にかなっています... 完全に失敗しないことに驚いています)。
.htaccess でリダイレクトを提供することで、サイトの速度が「https://」を直接入力したときに表示される速度に近づくことを願っています。
以上のことから、.htaccess の HSTS と 301 リダイレクトを調査することにしました。これらのリダイレクトを行うにはさまざまな方法があるようで、違いが何であるかはわかりません。
たとえば、これはより良いですか:
またはこれ(ホスティングプロバイダーが推奨)?
次に、varvy で .htaccess のコードを見つけましたhttps://varvy.com/pagespeed/hsts.html。
.htaccessに追加したい
(現在はプリロードされていません)しかし、これをリダイレクトの上または下に挿入する必要があるかどうかはわかりません.
env=httpsまた、http 経由で HSTS を送信しようとする試みを防ぐために使用する必要がありますか?
さらに複雑なことに、この記事は、すべてのシナリオで全体が正しく機能するようにするには、複数のリダイレクトが必要であることを示しているようです。彼が提案したリダイレクトスキームと同様に、この記事は私には理にかなっています。
http:// example.com → https:// example.com*
http:// www.example.com → https:// www.example.com* → https:// example.com*
https:// www .example.com → https://example.com*
しかし、実際の .htaccess でそのようなものを実装する方法がわかりません。盲目的に試してみるのは少し緊張しています。
最後に、私のさまざまなワードプレス プラグインは、.htaccess ファイルに一連のキャッシング/セキュリティ機能を追加しました。リダイレクトはそのすべての上または下に行きますか?
私の正規(およびssl証明書)は にhttps://example.comあるので、すべてのリダイレクトをそこに終わらせたい(ただし、リクエストの残りのスラッグを保持する)ため、 example.com/page1 はhttps://example.com/page1に移動する必要があります