L'intestazione Strict-Transport-Security è necessaria quando HTTPS è impostato? [duplicare]

Question

L'intestazione Strict-Transport-Security è necessaria quando HTTPS è impostato? [duplicare]

#1 da (8 voti)
#2 da (7 voti)

3

I dati del mio sito web vengono trasferiti tramite HTTPS. Per quanto ne so, esiste un certificato rilasciato dalla CA che viene fornito dal server per ogni client, client e server che decide come crittografare e decrittografare le informazioni scambiate e da questo punto e comunicare solo in questo modo. Questo è HTTPS di base.

Ora non capisco dove l'intestazione Strict-Transport-Security si adatta qui. Quando il server lo invia in risposta, il browser condurrà la comunicazione solo tramite HTTPS. E nel caso in cui alcuni URL siano ancora HTTP, li trasformerà automaticamente in HTTPS.

Ecco la domanda: se abbiamo configurato HTTPS come descritto nel primo paragrafo, è ancora necessario inviare l'intestazione Strict-Transport-Security con la risposta del server? Se sì, quale scopo servirà?

tls hsts

posta Olena Horal 28.12.2016 - 14:18

fonte

2 risposte

7

HSTS è l'unica protezione contro SSLStrip.

Quindi sì, se hai bisogno di usare https, allora devi usare HSTS.

risposta data 28.12.2016 - 15:49

fonte

Leggi altre domande sui tag tls hsts

Scopo dell'utilizzo di URL codificati in base 64 Come forzare nmap per controllare tutte le porte?

score 8 · Accepted Answer

Ti rimanderò a questo: link

Fondamentalmente, HSTS dice al browser di non comunicare mai con il server senza HTTPS. In questo modo, stai coprendo entrambe le linee di comunicazione.

Estratto :

HSTS tells the browser: never use HTTP with this site. Only access it via HTTPS. So, to enable HSTS, you must make sure that your site works with HTTPS, and only HTTPS. This includes everything: HTML, CSS, Javascript, everything. Make sure all of the CSS and Javascript on your site is available over HTTPS. Also, I suggest that you convert your pages to reference everything over HTTPS (I recommend your pages avoid loading any other Javascript or CSS resource over HTTP, as that may cause warnings or security problems for some browsers).

È necessario? Spetta a te decidere. È raccomandato? Sì.