2
我曾经在某处读过一篇文章,但现在我找不到它(你不讨厌这个!!!!),它记录了一种安全地向HTTPS服务器端请求提升的方法。我记得它说它解决了一些中间人攻击在正常重定向方法下停止提升的问题。我很确定我记得他们使用HTTP头,但不记得它是什么或他们是如何做到的。有没有人听说过我在说什么或在哪里可以找到这篇文章?安全重定向从HTTP到HTTPS
A
回答
3
您正在寻找的标题是Strict-Transport-Security。阅读关于他们在上Mozilla's docs
语法:
Strict-Transport-Security: max-age=expireTime [; includeSubdomains]
当然,当你已经是一个HTTPS连接上这个标题只会工作,所以你还要做最初的重定向。
另一个说明,有没有办法检测浏览器支持HTTPS,然后使用位置重定向,然后发送该头?我想对我们的用户“轻轻地”强制使用HTTPS。我不希望有URL重写,因为有些人根本不关心SSL,要么禁用它,要么拥有真正非常老的浏览器。 – jduncanator 2013-04-06 01:41:01
您可以使用'