目前正在设置新的个人服务器。我一直在阅读有关HSTS(thanks EFF!)的内容,以及在Nginx上实施的步骤(例如:here)。
我没有清楚地看到的是如何处理初始重定向。我是否在端口80处提供了一些静态错误内容,并通过HTTPS重定向到实际站点?
到目前为止,我所阅读的很多内容都表明,通过HTTP提供服务正在your site vulnerable进行MITM攻击。其他seem to suggest只要你在实例化的任何cookie上设置了安全标志,你就会很好。当然,我是平民,我不在preloaded HSTS site list,所以那就出去了。
这里的交易是什么?我应该为端口80提供服务并重定向以方便网站访问者,还是我将它们暴露给攻击?
完全披露:非Ops按行业划分,提供非安全内容,只是一个有学习机会的饥饿人心。
答案 0 :(得分:2)
在您的站点上,您只需使用301 response code将用户重定向到端口443处的HTTPS站点。然后,安全站点会发送"Strict-Transport-Security"标头。
这仍然会让您的用户在第一次访问您的网站时容易受到中间人攻击。您只能通过将您的网站置于预加载的HSTS列表中来缓解此问题。
不要从不安全的网站设置任何Cookie,并在设置安全标记时始终使用安全标记。