我有Web服务器IIS,在那里我可以直接访问像(page.com(这样的页面,所以这就是为什么我允许HTTP(端口80(,然后我使用HTTPS(端口443(。 当用户在端口 80 (page.com( 上进入页面时,他将被重定向到 HTTPS (443(。所以我的网络服务器使用具有长最大年龄参数的HSTS(防御ssl strip(。
我的页面以这种方式使用 HSTS 标头安全吗?如果没有,我该怎么办?
多谢!
与往常一样,这个问题对什么是安全的?在使用 HSTS 进行第一次响应后(以及过期之前(防止 SSL 条?是的。在第一个请求(或 HSTS 过期后的第一个请求(时防止 SSL 条?不。抵御一系列不同的攻击?不一定(第一次请求时的 dns 劫持、公司 SSL 检查、客户端中的流氓根证书、恶意软件......名单是无穷无尽的(。
你能让它更安全吗?是的,通过完全禁用纯 http。这在您的场景中有意义吗?只有你能说出来。