forum.opennet.ru

Составление сообщения

Исходное сообщение

"Раздел полезных советов: Перенаправление на HTTPS при помощи..."
Отправлено auto_tips, 24-Окт-15 10:21

Протокол HSTS (HTTP Strict Transport Security) позволяет администратору сайта указать на необходимость обращения только по HTTPS и автоматизировать проброс на HTTPS при изначальном обращении по ссылке на HTTP. Управление производится при помощи HTTP-заголовка Strict-Transport-Security, который выдаётся при обращении по HTTPS (при выдаче по HTTP заголовок игнорируется) и указывает браузеру на необходимость оставаться в зоне HTTPS даже при переходе по ссылкам "http://". Замена http:// на https:// будет автоматически выполняться при обращении к защищаемому ресурсу с внешних сайтов, а не только для внутренних ссылок.
Использование в Apache:
При помощи mod_headers устанавливаем для HTTPS-блока виртуального хоста заголовок Strict-Transport-Security (max-age - срок действия (1 год), includeSubdomains - распространять замену http:// на https:// для всех поддоменов; preload - занести в поддерживаемый браузером статический список).
Дополнительно устанавливаем заголовок "X-Frame-Options: DENY" для запрета встраивания контента сайта в блоки iframe.
   LoadModule headers_module modules/mod_headers.so
   <VirtualHost 192.168.1.1:443>
      Header always set Strict-Transport-Security "max-age= 31536000; includeSubdomains; preload"
      Header always set X-Frame-Options DENY
   </VirtualHost>
Для HTTP-блока хоста настраиваем редирект:
   <VirtualHost *:80>
     <IfModule mod_rewrite.c>
       RewriteEngine On
       RewriteCond %{HTTPS} off
       RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI&#...
     </IfModule>
    </VirtualHost>
Настройка в nginx:
Добавляем в блок server:
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
    add_header X-Frame-Options "DENY";
Настройка в Lighttpd:

   server.modules += ( "mod_setenv" )
   $HTTP["scheme"] == "https" {
       setenv.add-response-header  = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload",  "X-Frame-Options" => "DENY")
   }

URL: https://raymii.org/s/tutorials/HTTP_Strict_Transport_Securit...
Обсуждается: http://www.opennet.ru/tips/info/2918.shtml

Исходное сообщение
"Раздел полезных советов: Перенаправление на HTTPS при помощи..." Отправлено auto_tips, 24-Окт-15 10:21
Протокол HSTS (HTTP Strict Transport Security) позволяет администратору сайта указать на необходимость обращения только по HTTPS и автоматизировать проброс на HTTPS при изначальном обращении по ссылке на HTTP. Управление производится при помощи HTTP-заголовка Strict-Transport-Security, который выдаётся при обращении по HTTPS (при выдаче по HTTP заголовок игнорируется) и указывает браузеру на необходимость оставаться в зоне HTTPS даже при переходе по ссылкам "http://". Замена http:// на https:// будет автоматически выполняться при обращении к защищаемому ресурсу с внешних сайтов, а не только для внутренних ссылок. Использование в Apache: При помощи mod_headers устанавливаем для HTTPS-блока виртуального хоста заголовок Strict-Transport-Security (max-age - срок действия (1 год), includeSubdomains - распространять замену http:// на https:// для всех поддоменов; preload - занести в поддерживаемый браузером статический список). Дополнительно устанавливаем заголовок "X-Frame-Options: DENY" для запрета встраивания контента сайта в блоки iframe. LoadModule headers_module modules/mod_headers.so <VirtualHost 192.168.1.1:443> Header always set Strict-Transport-Security "max-age= 31536000; includeSubdomains; preload" Header always set X-Frame-Options DENY </VirtualHost> Для HTTP-блока хоста настраиваем редирект: <VirtualHost :80> <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.) https://%{HTTP_HOST}%{REQUEST_URI&#... </IfModule> </VirtualHost> Настройка в nginx: Добавляем в блок server: add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; add_header X-Frame-Options "DENY"; Настройка в Lighttpd: server.modules += ( "mod_setenv" ) $HTTP["scheme"] == "https" { setenv.add-response-header = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload", "X-Frame-Options" => "DENY") } URL: https://raymii.org/s/tutorials/HTTP_Strict_Transport_Securit... Обсуждается: http://www.opennet.ru/tips/info/2918.shtml

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Протокол HSTS (HTTP Strict Transport Security) позволяет администратору сайта указать 
> на необходимость обращения только по HTTPS и автоматизировать проброс на HTTPS 
> при изначальном обращении по ссылке на HTTP. Управление производится при помощи 
> HTTP-заголовка Strict-Transport-Security, который выдаётся при обращении по HTTPS (при 
> выдаче по HTTP заголовок игнорируется) и указывает браузеру на необходимость оставаться 
> в зоне HTTPS даже при переходе по ссылкам "http://". Замена http:// 
> на https:// будет автоматически выполняться при обращении к защищаемому ресурсу с 
> внешних сайтов, а не только для внутренних ссылок.

> Использование в Apache:

> При помощи mod_headers устанавливаем для HTTPS-блока виртуального хоста заголовок Strict-Transport-Security 
> (max-age - срок действия (1 год), includeSubdomains - распространять замену http:// 
> на https:// для всех поддоменов; preload - занести в поддерживаемый браузером 
> статический список).
> Дополнительно устанавливаем заголовок "X-Frame-Options: DENY" для запрета встраивания 
> контента сайта в блоки iframe.

>    LoadModule headers_module modules/mod_headers.so

>    <VirtualHost 192.168.1.1:443> 
>       Header always set Strict-Transport-Security "max-age= 31536000; 
> includeSubdomains; preload" 
>       Header always set X-Frame-Options DENY 
>    </VirtualHost>

> Для HTTP-блока хоста настраиваем редирект:

>    <VirtualHost *:80> 
>      <IfModule mod_rewrite.c> 
>        RewriteEngine On 
>        RewriteCond %{HTTPS} off 
>        RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 
>      </IfModule> 
>     </VirtualHost>

> Настройка в nginx:

> Добавляем в блок server:

>     add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 
 
>     add_header X-Frame-Options "DENY";

> Настройка в Lighttpd:

>    server.modules += ( "mod_setenv" ) 
>    $HTTP["scheme"] == "https" { 
>        setenv.add-response-header  = ( "Strict-Transport-Security" 
> => "max-age=63072000; includeSubdomains; preload",  "X-Frame-Options" => "DENY") 
>    }

> URL: https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html 
 
> Обсуждается: http://www.opennet.ru/tips/info/2918.shtml

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру