我一直在使用HSTS预加载列表阅读有关Google和Firefox的各种信息。
Safari或Opera是否使用HSTS预加载列表?哪一个 ?上面引用的3个列表之间有什么关系?
谢谢
答案 0 :(得分:5)
HSTS的事实中心主列表由Chromium / Google管理 在https://chromium.googlesource.com/chromium/src/net/+/master/http/transport_security_state_static.json。
可以在Wikipedia找到支持HSTS(可能还有预载列表)的浏览器列表。 作为封闭源,有关Opera,Safari,IE等处理其预加载列表的信息似乎无法使用。
Microsoft Edge团队状态in their Blog,即
与其他已实现此功能的浏览器一样,Microsoft Edge和Internet Explorer 11将其预加载列表基于Chromium HSTS preload list。
对于Firefox,/source/mozilla/security/manager/ssl/nsSTSPreloadList.inc的列表由文件生成
/source/mozilla/security/manager/tools/getHSTSPreloadList.js,我们可以在这里看到
const SOURCE = "https://chromium.googlesource.com/chromium/src/net/+/master/http/transport_security_state_static.json?format=TEXT";
它只是"主列表"的克隆,解析为Firefox`格式。 所有这一切都是为列表中的每个域提供额外的验证运行,并且具有所需的HSTS标头(通过连接到它;它似乎每天都在vcs日志中执行)。
Palemoon follows this procedure,很可能其他浏览器供应商也会这样做。 因此,您的列表之间的关系似乎是:只有一个。
答案 1 :(得分:0)
来自first link:
大多数主流浏览器(Chrome,Firefox,Opera,Safari,IE 11和Edge) 还有基于Chrome列表的HSTS预加载列表。 (见HSTS 兼容性矩阵。)