Https 是否只需要更改web应用程序的代码以支持HST?
如果我希望客户端始终使用HTTPs连接,那么我是否只需要在应用程序的代码中包含头,还是还需要在服务器上进行更改?此外,这与每次用户尝试使用HTTP时将用户重定向到HTTPs页面有什么不同?如果您只有HTTP->HTTPs重定向,客户端可能仍会尝试向您发布敏感数据(或获取包含敏感数据的URL)-这将使其公开。如果它知道你的站点是HSTS,那么它甚至不会尝试通过HTTP访问它,这样就消除了暴露。在我看来,这是一个相当小的胜利——更大的风险是,由于微软、Mozilla、Opera和谷歌的政策,所有人都盲目信任大量的根CA。API是基于网络的吗?此场景中的客户端是什么?@Ram-不涉及API。例如,我有一个网站,总是需要一个安全的渠道。客户端是一个web浏览器。从未真正考虑过其他客户机,但会渴望知道哪些其他实例允许HST?主要区别在于,您触发客户机(如果它具有该功能)甚至不尝试使用HTTP,从而阻止他们通过HTTP发送贵重物品以试图到达您的服务器(无论如何,服务器都不会处理它)。对于服务器端,您在多个级别上有很多选择:@Ram-我之前读过Wikipedia,因此我的帖子确认这只是一个代码更改。如果是这样,这与将用户重定向到HTTP页面(例如URL重写、mod_重写等)有何不同?您是否可以详细说明您的评论Https 是否只需要更改web应用程序的代码以支持HST?,https,Https,如果我希望客户端始终使用HTTPs连接,那么我是否只需要在应用程序的代码中包含头,还是还需要在服务器上进行更改?此外,这与每次用户尝试使用HTTP时将用户重定向到HTTPs页面有什么不同?如果您只有HTTP->HTTPs重定向,客户端可能仍会尝试向您发布敏感数据(或获取包含敏感数据的URL)-这将使其公开。如果它知道你的站点是HSTS,那么它甚至不会尝试通过HTTP访问它,这样就消除了暴露。在我看来,这是一个相当小的胜利——更大的风险是,由于微软、Mozilla、Opera和谷歌的政策,所有人都
如果您只有HTTP->HTTPS重定向,客户端可能仍会尝试向您发布敏感数据(或获取包含敏感数据的URL)-这会让它暴露在公众面前。