AFAIK HSTS是一个服务器端属性,它告诉浏览器只能使用此服务器的https请求(如果我错了,请纠正我。)
HSTS在从http重定向到https的情况下无效,在此重定向时间框架中可能会发生MIM攻击,除非您在浏览器HSTS列表中列出了网站。
如果我的服务器只接收来自libcurl的请求,我是否需要支持HSTS? 它有什么意义吗? libcurl是否也支持HSTS,并且在从服务器接收到该参数之后仅适用于https站点?
答案 0 :(得分:3)
AFAIK HSTS是一个服务器端属性,它告诉浏览器只能使用此服务器的https请求(如果我错了,请纠正我。)
右。
HSTS在从http重定向到https的情况下无效,在此重定向时间框架中可能会发生MIM攻击,除非您在浏览器HSTS列表中列出了网站。
如果用户代理不了解HSTS,那么根本不会有任何帮助。此外,HSTS是首次使用的信任"特征。这意味着如果用户代理没有域的HSTS记录并且依赖于重定向到HTTPS,则用户代理别无选择,只能信任它。 HSTS预加载旨在解决该问题,其中域始终固定为"是"对于HSTS。
如果我的服务器只接收来自libcurl的请求,我是否需要支持HSTS?它有什么意义吗? libcurl是否也支持HSTS,并且在从服务器接收到该参数之后仅适用于https站点?
单独使用libcurl与HSTS没有直接的好处。 libcurl不保留已知HSTS主机的记录。使用libcurl的开发人员可以在libcurl之上开发HSTS,但是今天libcurl本身并没有这样做。