HSTS 中 max-age 的目的是什么?例如:
Strict-Transport-Security: max-age=100
如果该值超过 100,会发生什么?
有没有设置 max-age 的最佳实践?
thanks !
有语义上不同的方式来发送 HSTS 标头,如RFC 6797 https://www.rfc-editor.org/rfc/rfc6797:
Strict-Transport-Security: max-age=31536000
HSTS 策略仅适用于发布该策略的 HSTS 主机的域,并且有效期为一年。
Strict-Transport-Security: max-age=31536000; includeSubDomains
HSTS 策略适用于颁发主机的域及其子域,有效期为一年。
Strict-Transport-Security: max-age=0
指示浏览器删除整个 HSTS 策略。
HSTS 最佳实践
HSTS 有一些简单的最佳实践:
- 最强大的保护是确保所有请求的资源仅使用具有格式良好的 HSTS 标头的 TLS。 Qualys 建议在目标域中的所有 HTTPS 资源上提供 HSTS 标头。
- 建议将 max-age 指令的值指定为大于 10368000 秒(120 天),最好为 31536000(一年)。网站应致力于提高最大年龄值,以确保当前域和/或子域的长期安全性得到提高。
- RFC 6797,第 14.4 节主张 Web 应用程序必须旨在添加
includeSubDomain
尽可能在策略定义中包含指令。该指令的存在确保 HSTS 策略应用于发出主机的域及其所有子域,例如example.com
and www.example.com
.
- 应用程序永远不应该通过纯文本 HTTP 标头发送 HSTS 标头,因为这样做会使连接容易受到 SSL 剥离攻击。
- 不建议通过元标记的 http-equiv 属性提供 HSTS 策略。根据 HSTS RFC 6797,用户代理不会注意接收到的内容元素上的 http-equiv=”Strict-Transport-Security” 属性。
This OWASP 备忘单 https://www.owasp.org/index.php/HTTP_Strict_Transport_Security_Cheat_Sheet将来也可能对您有所帮助。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)