Apache 301.htaccess中的重定向和HST
我已将站点更改为https,并在.htaccess中设置了重定向。但我也设置了严格的交通安全措施。两者都是必要的还是有用的Apache 301.htaccess中的重定向和HST,apache,.htaccess,redirect,https,hsts,Apache,.htaccess,Redirect,Https,Hsts,我已将站点更改为https,并在.htaccess中设置了重定向。但我也设置了严格的交通安全措施。两者都是必要的还是有用的 <IfModule mod_headers.c> Header always set Strict-Transport-Security "max-age=16070400" </IfModule> <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{HTTPS} o
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=16070400"
</IfModule>
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>
标头始终设置严格的传输安全性“最大年龄=16070400”
重新启动发动机
重写条件%{HTTPS}关闭
重写规则^(.*)$https://%{HTTP_HOST}/$1[R=301,L]
干杯是的!你应该两个都留着。从一开始,使用HST有很多好处。例如:
- 自动将HTTP请求重定向到HTTPS
- 防止用户覆盖无效的证书消息
它基本上类似于301重定向,但在浏览器级别,而不是网页级别。它优于301重定向,因为它可以实现为始终只使用https,而301重定向在第一次被浏览器看到时实际上是不安全的
阅读文档后,您可以决定它。重定向告诉输入
http://www.example.com
转到https://www.example.com
。由于默认值是http,如果您退出协议,只需键入www.example.com
,那么您将转到http://www.example.com
是的,您需要此重定向
不过,这也有一些问题
First up http不安全,可以被网络上的其他人读取和更改。这正是您应该使用https的原因。然而,由于http是不安全的,这意味着他们可以截获您的重定向,使您保持http版本,并继续截获您的流量。或者将您重定向到https://www.evilexample.com
HTTP严格传输安全性(HSTS)是一种试图解决此问题的安全机制。您的服务器告诉浏览器始终对该站点使用https。即使用户不键入协议(通常使用http时),即使您DO将协议键入为http
一旦浏览器为站点加载了HST,它甚至不会发送http请求,而是会自动将其更改为https。这有几个优点:
http://www.example.com
只需被告知转到https://www.example.com
因此,希望这能解释为什么HSTS是一件好事,是你应该保留的东西。在重定向的顶部。谢谢。我会让它保持原样。我当然会考虑将我的站点添加到预加载列表中,但可能不适合任何客户端。老实说,我不是预加载的超级粉丝。正如我在这里解释的:很高兴在添加任何站点到列表之前读到这一点。非常感谢!