AFAIK HSTS是一个服务器端属性,告诉浏览器只能使用该服务器的https请求(如果我错了,请纠正我)。libcurl是否支持严格的传输安全性(HSTS)?
对于从http重定向到https的情况,HSTS不起作用,在此重定向MIM帧攻击的时间框架内可能发生,除非您的站点在浏览器HSTS列表中列出。
如果我有一台服务器只能从libcurl获取请求,那么我是否需要支持HSTS? 它有什么含义? libcurl是否也支持HSTS,并且只有在从服务器接收到此参数后才与https站点一起工作?
AFAIK HSTS是一个服务器端属性,告诉浏览器只能使用该服务器的https请求(如果我错了,请纠正我)。
没错。
对于从http重定向到https的情况,HSTS不起作用,在此重定向时间框架内MIM攻击可能发生,除非您的站点列在浏览器HSTS列表中。
如果用户代理不了解HSTS,那么它根本没有任何帮助。此外,HSTS是“首次使用的信任”功能。这意味着如果用户代理没有域的HSTS记录并依赖重定向到HTTPS,则用户代理别无选择,只能相信这一点。 HSTS预加载旨在解决这个问题,即对于HSTS,域总是固定为“是”。
如果我有一台服务器只能从libcurl获取请求,我是否需要支持HSTS?它会有什么意义? libcurl是否也支持HSTS,并且只有在从服务器接收到此参数后才与https站点一起工作?
使用libcurl本身与HSTS没有直接的好处。 libcurl不记录已知的HSTS主机。使用libcurl的开发人员可以在libcurl的基础上开发HSTS,但是今天的libcurl本身并没有这样做。