我正在阅读the list of useful header from OWASP并且我在理解前两个是否需要HTTPS证书时遇到了一些麻烦?
HTTP的公钥固定扩展:HTTP的公钥固定扩展(HPKP)是一个告诉Web客户端的安全标头 将特定加密公钥与特定Web相关联 服务器,以防止伪造证书的MITM攻击。
严格传输 - 安全:HTTP严格传输安全(HSTS)强制实施与服务器的安全(HTTP over SSL / TLS)连接。这个 减少Web应用程序中泄漏会话数据中的错误的影响 通过cookie和外部链接并防御 中间人攻击。 HSTS还禁用了用户的能力 忽略SSL协商警告。
答案 0 :(得分:3)
HTTP公钥锁定(HPKP)是对首次使用技术的信任。当用户第一次请求Web服务器时,服务器会通过特殊的HTTP标头告知其自己或中间CA的公钥到浏览器。之后浏览器将此密钥存储一段时间。在用户对该Web服务器的后续请求时,浏览器期望在Web服务器的证书链中的一个证书内包含固定密钥。如果不是,则通过发出警告来阻止用户。有关详细信息,请参阅Implementing and Testing HTTP Public Key Pinning (HPKP)
答案 1 :(得分:1)
是的,他们都需要证书:
因此,根据定义,第一个需要https和证书,而HSTS的规范禁止发送带有http连接的标头。