前言 目前有些網站支持http和https兩種協議訪問，有些只支持一種協議訪問。根據動態域名安全策略（HSTS），只要該域名在瀏覽器中訪問過一次https，那么，谷歌瀏覽器會自動將http跳轉到https。 自動跳轉到https安全性提高了，但是有時候也會帶來訪問異常的情況， 比如突然出現 ...

之所以想起要啟用HSTS，主要是最近不少的朋友說網站打不開了，雖然Ping值一切正常，但是就是網頁無法訪問。猜測可能是DNS解析這一環節出了問題。另外自己本地的DNS劫持已經到了“喪心病狂”的地步了，不加Https訪問京東淘寶等全部被加入各種推廣。 啟用HSTS后自然想要加入HSTS ...

前言 HSTS 的出現，對 HTTPS 劫持帶來莫大的挑戰。 不過，HSTS 也不是萬能的，它只能解決 SSLStrip 這類劫持方式。但仔細想想，SSLStrip 這種算劫持嗎？ 劫持 vs 釣魚 從本質上講，SSLStrip 這類工具的技術含量是很低的。它既沒破解什么算法，也沒找到協議 ...

HTTP Strict Transport Security(HSTS) HTTP Strict Transport Security（通常簡稱為HSTS）是一個安全功能，它告訴瀏覽器只能通過HTTPS訪問當前資源，而不是HTTP。 HSTS的作用是強制客戶端（如瀏覽器）使用HTTPS ...

開啟HSTS讓瀏覽器強制跳轉HTTPS訪問 來源 https://www.cnblogs.com/luckcs/articles/6944535.html 在網站全站HTTPS后，如果用戶手動敲入網站的HTTP地址，或者從其它地方點擊了網站的HTTP鏈接，通常依賴於服務端301/302 ...

在上一篇文章中我們已經實現了本地node服務使用https訪問了，看上一篇文章 效果可以看如下： 但是如果我們現在使用http來訪問的話，訪問不了。如下圖所示： 因此我現在首先要做的是使用nginx配置下，當用戶在瀏覽器下輸入http請求的時候使用nginx重定向到https下即可 ...

在網站全站HTTPS后，如果用戶手動敲入網站的HTTP地址，或者從其它地方點擊了網站的HTTP鏈接，通常依賴於服務端301/302跳轉才能使用HTTPS服務。而第一次的HTTP請求就有可能被劫持，導致請求無法到達服務器，從而構成HTTPS降級劫持。這個問題目前可以通過HSTS(HTTP ...

HSTS(HTTP Strict Transport Security) 簡單來說就是由瀏覽器進行http向https的重定向。如果不使用HSTS，當用戶在瀏覽器中輸入網址時沒有加https，瀏覽器會默認使用http訪問，所以對於https站點，通常會在服務端進行http至https的重定向 ...