HSTS Tipo di implementazione e risposta

1

Ho implementato l'HSTS nel mio sito Web ASP.Net MVC. Ma se faccio una richiesta HTTP (non HTTPS), la richiesta si sta propagando usando il canale HTTP e la risposta è 301: Moved Permanently. E dalla seconda richiesta in poi, sta comunicando tramite HTTPS.

È questo il comportamento corretto dell'HSTS? Sono un po 'preoccupato, se qualcuno richiede deliberatamente il traffico http è ancora accettandolo (la prima richiesta).

    
posta Wayne Simpson 03.04.2017 - 05:44
fonte

1 risposta

1

Esiste un concetto chiamato TOFU (Trust On First Use) insieme a HSTS. Devi aggiungere il tuo URL alla lista di precarico HSTS per abilitare la tua prima richiesta con HSTS. Controlla i tuoi attributi HSTS come max-age e includeSubDomains ecc ... e aggiunge il tuo sito all'elenco se è conforme.

Puoi controllare l'elenco dei siti HSTS esistenti nel git del progetto chromi . Puoi caricare uno di questi siti HSTS correttamente implementati e verificare come si comportano.

Puoi controllare le impostazioni HSTS relative al browser (chrome) usando questo url

    
risposta data 03.04.2017 - 06:22
fonte

Leggi altre domande sui tag