2012年1月

HTTP Strict Transport Security

HTTP Strict Transport Security现在还是一个草案

详细细节见http://tools.ietf.org/html/draft-hodges-strict-transport-sec-02

Wiki见http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Chrome中的介绍见http://dev.chromium.org/sts

HSTS实际上是定义了一个header,浏览器读取到这个header后

会强制把http的请求转换成https的请求,不需要后台应用做处理

可惜现在只支持Firefox/Chrome,相信未来会支持更多的浏览器

增加的header如下:

Strict-Transport-Security: max-age=16070400; includeSubDomains

其中,max-age指定浏览器多长时间内自动对该域名使用HSTS

includeSubDomains表明包括子域名

从抓包里能看到,第一次的http请求,被浏览器给abort了,之后又重新发送一个https的请求

在max-age的有效期内,如果访问http://passport.sohu.com浏览器也会自动跳转到https://passport.sohu.com

Chrome的几个常用插件

  1. 网页截图: https://chrome.google.com/webstore/detail/cpngackimfmofbokmjmljamhdncknpmg
  2. DNS Refresh
  3. 快捷工具: https://chrome.google.com/webstore/detail/fjccknnhdnkbanjilpjddjhmkghmachn?hl=zh-CN
  4. Proxy SwitchySharp: https://chrome.google.com/webstore/detail/dpplabbmogkhghncfbfdeeokoefdjegm
  5. FireBug Lite: https://chrome.google.com/webstore/detail/bmagokdooijbeehmkpknfglimnifench?hl=zh-CN
  6. Axure:https://chrome.google.com/webstore/detail/axure-rp-extension-for-ch/dogkpdfcklifaemcdfbildhcofnopogp?hl=zh-CN
  7. 恢复最近的tab:https://chrome.google.com/webstore/detail/%E6%81%A2%E5%A4%8D%E6%9C%80%E8%BF%91%E5%85%B3%E9%97%AD%E7%9A%84%E6%A0%87%E7%AD%BE/jeimjmcpmonhlamlphijjiemdkepnnog?hl=zh-CN

最新文章

最近回复

  • feifei435:这两个URI实际是不一样的
  • zsy: git push origin 分支 -f 给力!
  • 冼敏兵:简单易懂,good fit
  • Jack:无需改配置文件,看着累! # gluster volume se...
  • Mr.j:按照你的方法凑效了,折腾死了。。。。
  • zheyemaster:补充一句:我的网站路径:D:\wamp\www ~~菜鸟站长, ...
  • zheyemaster:wamp2.5(apache2.4.9)下局域网访问403错误的...
  • Git中pull对比fetch和merge | 炼似春秋:[…] 首先,我搜索了git pull和git fe...
  • higkoo:总结一下吧, 性能调优示例: gluster volume s...
  • knowaeap:请问一下博主,你维护的openyoudao支持opensuse吗

分类

归档

其它