我正在尝试在我的网络服务器上设置HPKP(https://scotthelme.co.uk/hpkp-http-public-key-pinning/),其中一个选项是在标头中指定错误报告URI,以便客户端以错误通知的形式发送错误通知一个JSON POST请求结构如下:
{ "日期时间":日期时间, "主机名":主机名, " port":port, "有效到期日期":到期日期, " include-subdomains":include-subdomains, "注明 - 主机名":着名 - 主机名, "服务证书链":[ pem1,... pemN ] "验证证书链":[ pem1,... pemN ] "已知针":[ 已知引脚1,...已知引脚 ] }
我的问题是如何在Linux中设置一些东西来监听端口80(或443)上的JSON POST?
这已经有了吗?谢谢大家的帮助。
答案 0 :(得分:0)
Scott Helme,您所包含的链接,也运行此服务,为您处理:
或者,如果您想自己尝试任何Web脚本语言(通过perl,php ...等cgi)应该能够监听post请求并将其转储到日志文件中。我个人使用NodeJS服务,但任何事情都可以。我不知道人们分享的任何脚本,但可能是因为没有必要那么简单(听取帖子请求,打印出结果)。
此外,您无法在与您监控的网站相同的域上侦听端口443,因为报告也使用HPKP,因此无法连接,因为您唯一需要报告的时间是&# 39;连接!但是在仅报告模式下工作正常。
我知道你只是在试验,但我会提醒要非常小心使用HPKP,因为它非常容易将您的网站搞砸,并且它会为证书增加许多额外的考虑因素续约。就个人而言,我并不认为这对我来说风险很大,无论如何,对于大多数网站来说,它的风险远远超过它。我在这里对此有更多想法:https://www.tunetheweb.com/security/http-security-headers/hpkp/#downsides