這功能一旦被開啟後,歡樂的時光就來臨了......
網域的擁有者也可以自己設定,HSTS Preload 設定下去,所有連線都需要 SSL 的功能,於是它就有了
1. 無論是否有設定 HTTPS ,瀏覽器都會轉向 HTTPS
2. 可以抵禦SSL剝離攻擊,防網站劫持。
3. 不能隨意關掉 HTTPS,萬一憑證不見或過期,只好被 BROWSER 檔掉或警告。
4. HSTS會在一定時間後失效(有效期由max-age指定) ,但是沒有人會只設定一天過期。
* 你可以到這裡檢查,網址是否被 HSTS Preload 了....
* https://hstspreload.org
* 如果設定了,但是時間還沒有過期你可以參考這裡暫時移除
* https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/
* https://ephrain.net/chrome-%E5%B0%87%E7%B6%B2%E7%AB%99%E5%BE%9E-hsts-%E6%B8%85%E5%96%AE%E4%B8%AD%E7%A7%BB%E9%99%A4/
* https://blog.bennyling.cc/362/clear-google-chrome-hsts-setting/
* https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security 目前已經支援的瀏覽器
沒有留言:
張貼留言