有声小说,我欲封天耳根小说

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案

如何修復“HSTSMissingFromHTTPSServer”錯誤

創(chuàng)新互聯(lián)公司服務項目包括山亭網站建設、山亭網站制作、山亭網頁制作以及山亭網絡營銷策劃等。多年來，我們專注于互聯(lián)網行業(yè)，利用自身積累的技術優(yōu)勢、行業(yè)經驗、深度合作伙伴關系等，向廣大中小型企業(yè)、政府機構等提供互聯(lián)網行業(yè)的解決方案，山亭網站推廣取得了明顯的社會效益與經濟效益。目前，我們服務的客戶以成都為中心已經輻射到山亭省份的部分城市，未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任！

為HTTPS比HTTP安全得多。但是，如果您遇到“HSTS missing from HTTPS server”消息，那么此協(xié)議可能會使您的站點處于危險之中。

幸運的是，可以堵住這個嚴重的安全漏洞。即使您沒有遇到此錯誤消息，任何從HTTP重定向到HTTPS的站點都容易受到此漏洞的攻擊。因此，采取積極主動的方法并修復此缺陷仍然是明智之舉。

在這篇文章中，我們將探討“HSTS missing from HTTP server”錯誤是什么，以及為什么它對任何使用HTTPS重定向的網站來說都是一個如此嚴重的問題。然后，我們將通過五個簡單的步驟向您展示如何解決此問題并阻止黑客。

“HSTS missing from HTTP server”錯誤簡介

為了幫助確保訪問者的安全，網站執(zhí)行HTTPS重定向的情況并不少見。此重定向將訪問者從HTTP轉發(fā)到網站的HTTPS版本。

用戶可以在其瀏覽器的地址欄中明確輸入HTTP，或點擊指向該站點HTTP版本的鏈接。在這些情況下，重定向可以防止惡意第三方竊取訪問者的數(shù)據(jù)。

然而，沒有什么技術是完美的。如果您的站點確實使用HTTPS重定向，那么您可能容易受到稱為安全套接字層 (SSL) 剝離的中間人 (MITM) 攻擊。作為此攻擊的一部分，黑客將阻止重定向請求并阻止瀏覽器通過HTTPS協(xié)議加載您的站點。結果，訪問者將通過HTTP訪問您的網站，這使黑客更容易竊取數(shù)據(jù)。

或者，攻擊者可能會攔截重定向并將訪問者轉發(fā)到您網站的克隆版本。此時，黑客可以竊取用戶共享的任何數(shù)據(jù)，包括密碼和支付信息。一些黑客還可能試圖誘騙訪問者下載惡意軟件。

黑客也有可能通過不安全的連接竊取會話cookie，這種攻擊稱為cookie劫持。這些cookie可以包含大量信息，包括用戶名、密碼，甚至信用卡詳細信息。

為了保護您的訪問者免受這些攻擊，我們建議啟用HTTP嚴格傳輸安全 (HSTS)。此協(xié)議強制瀏覽器忽略任何直接請求并通過HTTPS加載您的站點。

HSTS協(xié)議（以及您可能想要使用它的原因）

HSTS是一個服務器指令和網絡安全策略。由Internet工程任務組 (IETF) 在RFC 6797中指定，HSTS為用戶代理和Web瀏覽器應如何處理通過HTTPS運行的站點的連接設置了規(guī)定。

有時，IT安全掃描可能會報告您的站點“缺少HSTS”或“HTTP嚴格傳輸安全”標頭。如果您遇到此錯誤，則說明您的網站未使用HSTS，這意味著您的HTTPS重定向可能會使您的訪問者面臨風險。

這被歸類為中等風險漏洞。然而，它非常普遍，對攻擊者來說是唾手可得的成果。如果您遇到此錯誤，那么解決它至關重要。

通過將HSTS安全標頭添加到您的服務器，您可以強制您的站點加載HTTPS協(xié)議。這有助于保護您的網站免受cookie劫持和協(xié)議攻擊。由于您可能會從加載過程中刪除重定向，因此您的網站也可能加載得更快。

您可能沒有遇到此錯誤，但仍然擔心HSTS。如果您不確定是否啟用了HSTS，您可以使用諸如Security Headers之類的工具掃描您的站點。只需輸入您網站的URL，然后單擊Scan。

使用Security Headers掃描您的站點

安全標頭將檢查您的站點并在標頭部分顯示所有應用的標頭。如果Strict-Transport-Security出現(xiàn)，則您的站點受到保護。但是，如果未列出此標頭，那么我們還有一些工作要做。

如何修復“HSTS Missing From HTTP Server”錯誤

對于黑客來說，HSTS漏洞是竊取數(shù)據(jù)或誘騙訪問者執(zhí)行危險操作的絕佳機會。以下是啟用HSTS政策并確保您的網站安全的方法。

步驟 1：創(chuàng)建手動備份

啟用HSTS政策意味著您的網站發(fā)生了重大變化。因此，我們建議在繼續(xù)之前創(chuàng)建按需備份。這使您可以選擇在啟用HSTS時遇到任何問題的情況下恢復您的站點。

在寶塔面板，您可以設置WordPress備份計劃。但是，在進行任何重大更改之前創(chuàng)建手動備份仍然是明智之舉。要創(chuàng)建此安全網，請登錄您的寶塔儀表盤。然后，單擊左側的“網站”菜單，找到你需要備份的網站對應的備份操作，然后在彈窗中點擊“備份站點”。

在寶塔面板執(zhí)行網站備案操作

接下來，進行網站數(shù)據(jù)庫備份，選擇數(shù)據(jù)庫菜單項。找到你需要備份的站點對應的數(shù)據(jù)庫，點擊備份列對應的操作項，然后單擊彈窗的備份數(shù)據(jù)庫按鈕。

備份網站數(shù)據(jù)庫

這樣，您即對網站完成了網站文件及數(shù)據(jù)庫的備份操作。

步驟 2：設置HTTP到HTTPS重定向

在啟用HSTS策略之前，您需要將SSL證書部署到您的網站。在寶塔面板，你可以直接申請部署證書。除非您特別需要自定義證書，否則您不必擔心手動配置SSL。

點擊寶塔面板左側的“網站”菜單項，然后找到你需要配置SSL的網站，點擊操作項“設置”，點擊彈窗左側的“SSL”，然后根據(jù)需要申請及部署SSL，其中寶塔SSL和Let’s Encrypt的證書均免費，前者需要實名認證。

然后你必須開啟右上角的強制HTTPS，才可以實現(xiàn)將HTTP重定向至HTTPS。

請注意，如果您使用任何第三方代理或設置任何自定義HTTPS規(guī)則，那么強制HTTPS可能會導致錯誤或其他奇怪的行為。

如果您的Web服務器正在運行Nginx，那么您可以將所有HTTP流量重定向到HTTPS。只需將以下代碼添加到您的Nginx配置文件中：

server {
listen 80;
server_name domain.com www.domain.com;
return 301 https://domain.com$request_uri;
}

步驟 3：添加HSTS標頭

您可以將各種類型的指令和安全級別應用于HSTS標頭。但是，我們建議添加max-age指令，因為它定義了Web服務器應通過HTTPS提供的時間（以秒為單位）。這會阻止訪問只能通過HTTP提供的頁面或子域。

如果您使用的是Apache服務器，則需要打開您的虛擬主機文件。然后，您可以添加以下內容：

Header always set Strict-Transport-Security max-age=31536000

如果您使用的是NG服務器，那么您可以將以下內容添加到您的Nginx配置文件中：

add_header Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

與往常一樣，我們可以為您完成所有艱苦的工作。只需打開支持票證，請求我們將HSTS標頭添加到您的站點。我們的團隊很樂意對您的Nginx文件進行此更改。

步驟 4：將您的網站提交到HSTS預加載列表

HSTS政策有一個主要缺點。瀏覽器必須至少遇到一次HSTS標頭，然后才能將其用于將來的訪問。這意味著您的受眾將需要至少完成一次HTTP到HTTPS 重定向過程。在此期間，它們將容易受到基于協(xié)議的攻擊。

為了彌補這個安全漏洞，谷歌創(chuàng)建了HSTS預加載列表。這列出了所有支持HSTS的網站，然后將其硬編碼到Chrome中。通過將您的站點添加到此列表中，訪問者將不再需要完成初始HTTPS重定向。

大多數(shù)主要的互聯(lián)網瀏覽器都有自己的HSTS預加載列表，這些列表基于Chrome的列表。要獲得此列表的資格，您的網站必須符合提交標準。好消息是我們已經涵蓋了所有這些要求，因此您可以繼續(xù)將您的網站提交到HSTS預加載列表。

一旦您進入此列表，一些搜索引擎優(yōu)化 (SEO) 工具可能會警告您有關307重定向。當有人試圖通過不安全的HTTP協(xié)議訪問您的站點時，就會發(fā)生這些重定向。這會觸發(fā)307重定向而不是永久301重定向。如果您對此感到擔憂，可以使用httpstatus掃描您的站點并驗證是否發(fā)生 301 重定向。

步驟 5. 驗證您的Strict-Transport-Security標頭

添加HSTS標頭后，最好測試它是否正常運行。您可以使用瀏覽器的內置 Web 工具執(zhí)行此檢查。

這些步驟將根據(jù)您選擇的Web瀏覽器而有所不同。要執(zhí)行此操作，請檢查Google Chrome DevTools，導航到您要測試的網頁。然后，您可以單擊任何空白區(qū)域，然后選擇檢查。

閃電博主頁

在隨后的面板中，選擇Network選項卡。然后，您可以檢查Headers部分，該部分應包含以下內容：

strict-transport-security: max-age=31536000

或者，您可以使用安全標頭工具掃描您的站點。和以前一樣，只需輸入您網站的URL，然后單擊Scan。這將返回一個安全報告，其中應包含一個strict-transport-security標簽。如果此標記存在，那么您的HSTS標頭現(xiàn)在已正確設置，并且您已成功關閉HTTPS重定向漏洞。

小結

從HTTP重定向到HTTPS是一種安全最佳實踐。但是，沒有任何技術是完美的，這種重定向可能會使您的網站更容易受到SSL攻擊。

考慮到這一點，讓我們回顧一下如何修復“HSTS Missing From HTTPS Server”錯誤：

當前名稱：如何修復“HSTSMissingFromHTTPSServer”錯誤
本文地址：http://m.fisionsoft.com.cn/article/cdeogdo.html