日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
HSTS–如何使用HTTP嚴(yán)格傳輸安全

確保為您的wordpress網(wǎng)站正確設(shè)置安全性非常重要,尤其是在保護(hù)自己免受黑客攻擊方面。您可以實施許多不同的增強功能和最佳WordPress安全實踐,以確保您的網(wǎng)站被鎖定。

如果您的WordPress網(wǎng)站通過httpS運行,那么我們建議實施的增強功能之一是HSTS安全標(biāo)頭,因為它可以幫助防止中間人攻擊 (MitM) 和cookie劫持。

  • HSTS(嚴(yán)格傳輸安全)
  • 如何將HSTS添加到WordPress網(wǎng)站
  • 驗證HSTS標(biāo)頭
  • HSTS對SEO的影響

什么是HSTS(嚴(yán)格的傳輸安全)?

HSTS代表HTTP嚴(yán)格傳輸安全性,由IETF在2012年的RFC 6797中指定。創(chuàng)建它是為了在站點通過HTTPS運行時強制瀏覽器使用安全連接。它是您添加到Web服務(wù)器的安全標(biāo)頭,并在響應(yīng)標(biāo)頭中反映為Strict-Transport-Security。HSTS很重要,因為它解決了以下問題:

  • 訪問者嘗試使用您網(wǎng)站頁面的不安全版本 (HTTP://) 的任何嘗試都將自動轉(zhuǎn)發(fā)到安全版本 (HTTPS://)。
  • 舊的HTTP書簽和輸入您網(wǎng)站的HTTP版本的人會讓您面臨中間人攻擊。在這些攻擊中,攻擊者改變各方之間的通信并誘使他們認(rèn)為他們?nèi)栽谙嗷ネㄐ拧?/li>
  • 不允許覆蓋無效的證書消息,這反過來又保護(hù)了訪問者。
  • Cookie劫持:當(dāng)有人通過不安全的連接竊取會話cookie時,就會發(fā)生這種情況。Cookie可以包含各種有價值的信息,例如信用卡信息、姓名、地址等。

如何將HSTS添加到WordPress網(wǎng)站

從技術(shù)上講,您將HSTS添加到Web服務(wù)器本身,然后將其應(yīng)用于對您的WordPress站點的HTTP請求。通常在從HTTP重定向到HTTPS時會添加301重定向。Google已正式表示您可以同時使用301服務(wù)器重定向和HSTS標(biāo)頭。

雖然我們的系統(tǒng)默認(rèn)更喜歡HTTPS版本,但您也可以通過將您的HTTP站點重定向到您的HTTPS版本并在您的服務(wù)器上實施HSTS標(biāo)頭,使其他搜索引擎更清楚這一點。 Zineb Ait Bahajji,谷歌安全團隊

有不同類型的指令和/或安全級別可以應(yīng)用于HSTS標(biāo)頭。下面是使用max-age指令的最基本的一種。這定義了Web服務(wù)器應(yīng)僅通過HTTPS傳送的時間(以秒為單位)。

在Apache中啟用HSTS

將以下代碼添加到您的虛擬主機文件中。

Header always set Strict-Transport-Security max-age=31536000

在NGINX中啟用 HSTS

將以下代碼添加到您的NGINX配置中。

add_header Strict-Transport-Security max-age=31536000

事實上,添加HSTS標(biāo)頭有性能優(yōu)勢。如果有人試圖通過HTTP訪問您的站點,而不是發(fā)出HTTP請求,它只是重定向到HTTPS版本。

預(yù)加載HSTS

還有HSTS預(yù)加載。這基本上是將您的網(wǎng)站和/或域放入瀏覽器中實際內(nèi)置的已批準(zhǔn)HSTS列表中。谷歌官方編譯了這個列表,它被Chrome、Firefox、Opera、Safari、IE11和Edge使用。將您的站點提交到官方HSTS預(yù)加載列表。

預(yù)加載HSTS

但是,您必須滿足一些額外要求才有資格。

為此,它需要將額外的子域和預(yù)加載指令添加到您的HSTS標(biāo)頭中。以下是更新后的HSTS標(biāo)頭的示例。

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

公平警告:從預(yù)加載列表中刪除您的域可能是一個困難且耗時的過程,因此請確保您將長期使用HTTPS。

驗證HSTS標(biāo)頭

有幾種簡單的方法可以檢查HSTS是否在您的WordPress網(wǎng)站上運行。您可以啟動Google Chrome Devtools,單擊“網(wǎng)絡(luò)”選項卡并查看標(biāo)題選項卡。正如您在下面的閃電博網(wǎng)站上看到的那樣,正在應(yīng)用HSTS值:“strict-transport-security: max-age=31536000”。

您還可以使用免費的在線工具(如securityheaders.io)掃描您的WordPress網(wǎng)站,該工具會讓您知道是否應(yīng)用了strict-transport-security標(biāo)頭。

HSTS瀏覽器支持

根據(jù)Caniuse的說法,瀏覽器對HSTS的支持非常廣泛,全球超過80%,美國超過95%。2015年在IE11中添加了對HSTS的支持,目前唯一不支持它的現(xiàn)代瀏覽器是Opera Mini。

我們還建議您查看Tim Kadlec關(guān)于HSTS和Let’s Encrypt的這篇文章。

HSTS對SEO的影響

在您的網(wǎng)站獲得批準(zhǔn)并包含在HSTS預(yù)加載列表中后,您可能會注意到來自Google Search Console或其他第三方SEO工具的關(guān)于307重定向的警告。這是因為當(dāng)有人嘗試通過HTTP訪問您的網(wǎng)站時,瀏覽器中會發(fā)生307重定向,而不是301重定向(如下所示)。

HSTS – 嚴(yán)格傳輸安全307重定向

通常307重定向僅用于臨時重定向。301重定向用于已永久移動的URL。那么它不應(yīng)該使用301重定向嗎?那么這對SEO的影響呢?

嗯,事實上,301重定向仍在幕后發(fā)生。307重定向發(fā)生在瀏覽器級別,而不是服務(wù)器級別。您可以通過在服務(wù)器級別檢查重定向的工具(例如httpstatus )運行該站點,您會發(fā)現(xiàn)實際上301重定向仍在發(fā)生。因此,您無需擔(dān)心HSTS標(biāo)頭會影響您的SEO。

HSTS 301重定向


文章標(biāo)題:HSTS–如何使用HTTP嚴(yán)格傳輸安全
URL網(wǎng)址:http://m.5511xx.com/article/dpgecho.html