保护Web服务器免受Safari

时间:2016-04-08 16:09:46

标签: security ssl safari man-in-the-middle

我一直在寻找一种方法来确保我的网络服务器可以抵御中间人攻击。即使我选择在安全警告之后前进,Google Chrome和Firefox似乎也会阻止对我的服务器的请求。我正在通过使用Charles Proxy来拦截Https流量而不信任我的Mac上的Charles Cert。

当我使用Safari运行相同的测试时,如果我选择忽略安全警告,我会让我通过,我希望有一定数量的用户可以这样做。因此,似乎需要更多配置来锁定Safari流量。我知道这是可能的,因为当尝试使用相同的场景导航到github.com时,我收到以下消息:

Safari Can't Open

有人知道GitHub在不受信任的连接上阻止Safari流量的行为吗?

1 个答案:

答案 0 :(得分:2)

Looks like Safari支持HSTS,而github正在使用它。他们的HTTP响应包含以下标题:

Strict-Transport-Security:max-age=31536000; includeSubdomains; preload

这样,支持HSTS的浏览器知道,在可预见的时间内,只能使用https访问此站点,并且浏览器会自动升级任何仅使用http的尝试。

除了基本的HSTS之外,只有在第一次访问网站后才能工作,github还会添加preload指令。这告诉浏览器制造商github喜欢包含在浏览器附带的预装HSTS列表中,以便浏览器应用HSTS,即使用户之前从未访问过该站点。有关详细信息,请参阅HSTS Preloading