开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

部署了一个站点，但由于HSTS而不允许我访问该站点

HSTS（HTTP Strict Transport Security）是一种安全策略，用于强制客户端（浏览器）通过HTTPS与服务器进行通信，以提高站点的安全性。当浏览器第一次访问一个支持HSTS的站点时，服务器会返回一个包含HSTS头信息的响应，告知浏览器在一定时间内只通过HTTPS与该站点通信。

由于HSTS的限制，当你尝试通过HTTP访问一个启用了HSTS的站点时，浏览器会自动将你的请求重定向到HTTPS，从而阻止了非加密连接的访问。

要解决这个问题，你可以尝试以下几种方法：

直接使用HTTPS访问：由于HSTS要求使用HTTPS与服务器通信，你可以在浏览器中直接输入站点的HTTPS地址，例如"https://example.com"，以确保通过加密连接访问站点。
清除浏览器缓存：有时候浏览器会缓存HSTS信息，导致即使站点已经关闭了HSTS，浏览器仍然会强制使用HTTPS。你可以尝试清除浏览器的缓存，然后再次尝试通过HTTP访问站点。
使用其他浏览器或设备：如果你在某个特定的浏览器或设备上无法访问该站点，可以尝试在其他浏览器或设备上进行访问。有时候不同的浏览器或设备对HSTS的实现方式有所不同，可能会有不同的结果。
联系站点管理员：如果你是站点的管理员或有权限访问站点的管理员，你可以联系他们解决该问题。管理员可以检查站点的HSTS设置，并根据需要进行调整或关闭HSTS。

腾讯云相关产品和产品介绍链接地址：

SSL证书：https://cloud.tencent.com/product/ssl
Web应用防火墙（WAF）：https://cloud.tencent.com/product/waf
CDN加速：https://cloud.tencent.com/product/cdn

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

HTTPS 安全最佳实践（二）之安全加固

想要部署 TLS 是非常容易的，但其难点在于如何使用安全的配置来保障站点的安全。尤其是 Protocol 版本和 Cipher 需要小心选择和配置。...当浏览器访问一个设置相应 HTTP header 的 HTTPS 网站时，HSTS 将被激活。 HSTS 有一个固定期限，由 max-age 字段值控制。...一个好的 CSP 是基于白名单的方法，不允许任何东西，除了明确允许的内容。它还限制了 javascript 的来源和允许操作。 CSP 很难启用遗留代码库。...为了简化实现，CSP 提供了一个 report-only 模式，在浏览器中，CSP 的违规被发送到一个网站端点，但是该策略没有被强制执行。新项目应该从一开始就使用 CSP。...完全不允许使用 sameorigin 拒绝或允许同源框架的选项。避免由于受限或 bug 浏览器支持而允许的选项。

1.8K1 0

Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击

而这些HTTP响应头在我们部署 Nginx 的时候经常会被忽略掉，个人感觉这是一个比较严重的“疏忽”，加上还是很有必要的，如果有条件最好是部署一个适合自己站点的X-Content-Security-Policy...上面是我自己的理解，下面是owasp中文站点关于hsts的描述： HSTS的作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接。...HSTS解决了这一问题，一旦服务器发送了HSTS字段，用户将不再允许忽略警告。 0×03. Strict-Transport-Security的一些不足用户首次访问某网站是不受HSTS保护的。...二是将HSTS信息加入到域名系统记录中。但这需要保证DNS的安全性，也就是需要部署域名系统安全扩展。截至2014年这一方案没有大规模部署。...最早我是在介绍IE8的文章里看到这个，现在主流浏览器都支持，并且默认都开启了XSS保护，用这个header可以关闭它。

4K5 0

HTTP Strict Transport Security实战详解

，但细致分析，就会发现种通信模式也存在一个风险，那就是这个302重定向可能会被劫持篡改，如果被改成一个恶意的或者钓鱼的https站点，然后，你懂得，一旦落入钓鱼站点，数据还有安全可言吗？...上面是我自己的理解，下面是owasp中文站点关于hsts的描述： HSTS的作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接。...HSTS解决了这一问题，一旦服务器发送了HSTS字段，用户将不再允许忽略警告。 0×03. Strict-Transport-Security的一些不足用户首次访问某网站是不受HSTS保护的。...二是将HSTS信息加入到域名系统记录中。但这需要保证DNS的安全性，也就是需要部署域名系统安全扩展。截至2014年这一方案没有大规模部署。...我们来把这个站点手动加入到chrome浏览器的hsts缓存中：在未清空chrome浏览器历史记录的前提下，我们再次访问这个站点：可以看到，一个307 响应码，这是chrome浏览器的内部转换，将http

2.8K1 0

HTTPS 安全最佳实践（一）之SSLTLS部署

本篇文档的目的在于如何让系统管理员或开发者用尽可能少的时间部署一个安全的 web 站点或应用，即 SSL 和 TLS 部署最佳实践。...即使您期望只使用一个域名，请记住，您无法控制用户到达该网站的方式或其他人如何链接到该网站。...换句话说，访问私钥的人越少越好。还要注意，证书共享会创建一个可以被滥用的将漏洞从一个网站或服务器传输到使用相同证书的所有其他站点和服务器（即使底层私钥不同，只要证书域名匹配）的绑定。...要激活 HSTS 保护，您可以向您的网站添加一个新的响应头。之后，支持 HSTS（此时所有现代浏览器）的浏览器执行它。 HSTS 的目标很简单：激活后，它不允许与使用它的网站进行任何不安全的通信。...公钥绑定解决了 PKI 最大的弱点（事实上，任何 CA 都可以为任何网站发布证书），但是这是一个成本; 部署需要大量精力和专业知识，并造成失去对您站点控制的风险（如果最终导致无效的固定配置）。

1.6K2 1

更快更安全，HTTPS 优化总结

HSTS HSTS（HTTP Strict Transport Security）介绍浏览器在访问站点的时候，如果没有指定 HTTPS 访问，会默认使用 HTTP，所以我们会将 HTTP 重定向...因此有了 HSTS，采用 HSTS 协议的网站将保证浏览器始终连接到网站的HTTPS版本，而不需要用户手动在URL地址栏中输入包含 https://的加密地址，实现了一种新的跳转方式（浏览器识别后直接跳转...Preloading 介绍在上一条 HSTS 中，我们实现了浏览器维持 HTTPS 连接，但是仍然存在一个问题，如果我们是第一次访问该站点呢？...HSTS Preload List(https://hstspreload.org/)，是一个谷歌维护的列表，现在大部分主流浏览器都支持这个列表，这个列表直接告诉浏览器要用 HTTPS 访问的站点有哪些...，所以在访问站点之前，浏览器先捞一遍这个列表，如果要访问的站点在这里面，就直接用 HTTPS 进行访问，所以即使是第一次访问，也会走 HTTPS 了。

3.1K11 0

HTTPS 优化总结

HSTS HSTS（HTTP Strict Transport Security）介绍浏览器在访问站点的时候，如果没有指定 HTTPS 访问，会默认使用 HTTP，所以我们会将 HTTP 重定向（301...因此有了 HSTS，采用 HSTS 协议的网站将保证浏览器始终连接到网站的HTTPS版本，而不需要用户手动在URL地址栏中输入包含https://的加密地址，实现了一种新的跳转方式（浏览器识别后直接跳转...Preloading 介绍在上一条 HSTS 中，我们实现了浏览器维持 HTTPS 连接，但是仍然存在一个问题，如果我们是第一次访问该站点呢？...HSTS Preload List，是一个谷歌维护的列表，现在大部分主流浏览器都支持这个列表，这个列表直接告诉浏览器要用 HTTPS 访问的站点有哪些，所以在访问站点之前，浏览器先捞一遍这个列表，如果要访问的站点在这里面...加入Preload List 只需要前往这个站点 HSTS Preload List （可能需要蝌学上网访问）提交你的站点就可以，通过之后就加入 HSTS 预加载列表了。

7272 1

HTTPS安全优化配置最佳实践指南简述

所以本篇文章主要是为了让系统管理员或开发者用尽可能少的时间部署一个安全的 web 站点或应用，即 SSL 和 TLS 部署最佳实践，但在学习实践之前我们需要了解一下SSL/TLS 相关术语，避免在后续实践中一头雾水...不需要涉及非对称加密，TLS 协议握手（初始化）时的性能好于 RSA 和 DH,密钥交换时通讯双方已经预先部署了若干个共享的密钥为了标识多个密钥，给每一个密钥定义一个唯一的 ID客户端通过ID 和服务端进行通讯...3.SSL/TLS站点性能描述: 本章节HTTPS安全是我们讨论的重点,于此同时我们也需要关注配置了TLS站点的性能, 一个不符合性能标准的安全服务无疑将被丢弃。...一个理想的CSP策略是基于白名单的方法，不允许任何东西，除了明确允许的内容，它还限制了 javascript 的来源和允许操作。 # 从限制性策略开始在必要时放松。...，访问该网站才会显示成可信状态。

2.6K1 0

django 1.8 官方文档翻译： 3-6-2 内建的中间件

HTTPS访问的站点，你可以通过设置HSTS协议头，通知现代的浏览器，拒绝用不安全的连接来连接你的域名。...一旦你确认你站点上的所有东西都以安全的方式提供（例如，HSTS并不会干扰任何事情），建议你增加这个值，这样不常访问你站点的游客也会被保护（比如，一般设置为31536000秒，一年）。...强烈推荐这样做（假设所有子域完全使用HTTPS），否则你的站点仍旧有可能由于子域的不安全连接而受到攻击。警告 HSTS策略在你的整个域中都被应用，不仅仅是你所设置协议头的响应中的url。...注意如果你的站点部署在负载均衡器或者反向代理之后，并且Strict-Transport-Security协议头没有添加到你的响应中，原因是Django有可能意识不到这是一个安全连接。...SECURE_SSL_REDIRECT专门为这种部署情况而设计，当这不可选择的时候。如果SECURE_SSL_HOST设置有一个值，所有重定向都会发到值中的主机，而不是原始的请求主机。

9493 0

从网络协议的角度聊一聊最近Github被大规模攻击事件

为什么强制 Https 访问你在访问 http://github.com 的时候，会发现浏览器只允许你通过 HTTPS 访问，这是因为 Github 开启了 HSTS，它告诉浏览器只能通过 HTTPS...当Strict-Transport-Security标头指定的到期时间过去时，下一次尝试通过HTTP加载站点的尝试将照常进行，而不是自动使用HTTPS....所以，github 开启了 HSTS 意味着我们只能从用 HTTPS 来访问它，但是这时候站点的中间某个环节出了问题导致无法建立安全链接，所以无法访问，那么浏览器是如何与服务端建立安全链接的呢？...检查部署此证书的网站的域名是否与证书中的域名一致 IE7浏览器会到欺诈网站数据库查询此网站是否已经被列入欺诈网站黑名单浏览器需经过以上几个方面的检查后，才会在页面显示安全锁标志，正常显示部署了SSL/...攻击者使用 BGP 劫持将 github.com 的 IP 指向了使用 346608453@qq.com 自签名的证书的服务器，由于浏览器无法信任该证书，导致页面访问失败，这就是整个事件的原因了。。

9822 0

HTTP Strict Transport Security (HSTS) in ASP.NET Core

本文是《2020年了，再不会HTTPS就老了》的后篇，本文着重聊一聊HTTP Strict Transport Security协议的概念和应用。...启用 HTTPS 还不够安全现在很多站点通过HTTPS对外提供服务，用户在访问某站点，往往会直接输入站点域名（baidu.com），而不是完整的HTTPS地址（https://www.baidu.com...若浏览器认可该响应头：浏览器为该域名存储（阻止请求使用HTTP连接）这一约定，浏览器将强制所有请求通过 HTTPS 浏览器阻止用户使用不安全/无效证书，会显示禁用提示（允许用户临时信任该证书）因为...HSTS策略由客户端强制执行，有一些前置条件：客户端必须支持 HSTS 协议必须要有一次成功的HTTPS请求，这样才能建立HSTS 策略 Preload HSTS 细心的你可能发现，HSTS还是存在一个薄弱漏洞...规范的一部分，但是浏览器支持在全新安装时预加载HSTS网站指定子域使用HSTS协议, 或排除某些子域使用HSTS 设置浏览器缓存 [访问站点的请求均使用HTTPS协议] 这一约定的时间，默认是30天。

8872 0

开启HSTS让浏览器强制跳转HTTPS访问

includeSubDomains，可选参数，如果指定这个参数，表明这个网站所有子域名也必须通过HTTPS协议来访问。 preload，可选参数，一个浏览器内置的使用HTTPS的域名列表。...如果用户通过HTTP访问HSTS保护的网站时，以下几种情况存在降级劫持可能：以前从未访问过该网站最近重新安装了其操作系统最近重新安装了其浏览器切换到新的浏览器切换到一个新的设备，如：移动电话...删除浏览器的缓存最近没访问过该站并且max-age过期了解决这个问题目前有两种方案：方案一：在浏览器预置HSTS域名列表，就是上面提到的 HSTS Preload List 方案。...该域名列表被分发和硬编码到主流的Web浏览器。客户端访问此列表中的域名将主动的使用HTTPS，并拒绝使用HTTP访问该站点。方案二：将HSTS信息加入到域名系统记录中。...非加密传输时设置的HSTS字段无效。最佳的部署方案是部署在离用户最近的位置，例如：架构有前端反向代理和后端Web服务器，在前端代理处配置HSTS是最好的，否则就需要在Web服务器层配置HSTS。

2.4K3 0

WEB安全防护相关响应头（上）

当然，WEB 应用应该根据自己的实际情况部署和设置，并非盲目地一股脑地全部招呼上。...比如一个允许交互的站点，往往允许上传图片、mp3 文件，甚至允许上传纯文本文件，但往往不允许上传 JavaScript 脚本文件和 HTML 文件，因为后者借助 JavaScript 日益强大的功能，能做的坏事实在有点多...对那些同时提供 HTTP 和 HTTPS 服务，但希望访问者优先使用 HTTPS 服务的站点来说，这种处理就不太符合他们的本意了。...这个参数指的是，如果你上一次用 HTTPS 访问过该站点，下次再来访问，如果两次访问的间隔时间没有超过这个 max-age 的设定，第二次访问该站点时，浏览器就会直接强制以 HTTPS 协议访问了。...这个响应头的弊端：某些早期浏览器不支持；如果 HTTPS 站点出现问题，导致无法访问， max-age 又设得过大，会导致使用者完全无法回退到访问 HTTP 站点。

1.8K1 0

跟我一起探索HTTP-Strict-transport-security

Strict-Transport-Security HTTP Strict-Transport-Security（通常简称为HSTS）响应标头用来通知浏览器应该只通过 HTTPS 访问该站点，并且以后使用...HTTP 访问该站点的所有尝试都应自动重定向到 HTTPS。...这样为中间人Attack创造了机会。可以利用重定向将用户引导至恶意站点，而不是原始站的安全版本。...很不幸，你接入的 Wi-Fi 实际上是黑客的笔记本热点，他们拦截了你原始的 HTTP 请求，然后重定向到一个与你银行网站一模一样的钓鱼网站。现在，你的隐私数据暴露给黑客了。...同时阻止了只能通过 HTTP 访问页面或者子域的内容。

3495 0

启用HSTS并加入HSTS Preload List-附删除HSTS方法

启用HSTS后自然想要加入HSTS Preload List了，这是各大浏览器都遵循的一个强制使用Https访问的网站列表，只要加入到这个列表中，所有的通过浏览器访问请求都会强制走Https，这在很大程度上可以杜绝...现在你的 web 站点在每次访问时都会发送该请求头，失效时间是两年（秒数），这个失效时间每次都会设置为两年后。...=63072000; includeSubdomains; preload"); 开启了HSTS后，你部署SSL/TLS的服务检测得分就可能是A+以上了。...3.2 如何撤销HSTS Preload List https://hstspreload.org/removal/ 官方也提供了一个申请删除HSTS Preload List，不过需要注意的是撤销HSTS...而且同一个IP上网站域名都要上Https，如果你不部署也会给你强制跳转到https，导致无法打开，这真的是很麻烦。那么哪些网站适合加入HSTS Preload List？

2.9K2 0

HTTPS安全最佳实践

如何处理HTTP 一个常见的误解是，如果除了重定向到HTTPS之外就可以不使用HTTP了，但是，如果攻击者拦截了初始HTTP请求并且可以修改它，他可以提供邮件内容而不是重定向，因此，第一个请求仍然很脆弱...默认情况下，浏览器首先请求HTTP站点，因此你需要支持它。但有一个例外，如果你有一个API端点，那么你可以（并且应该）完全禁用HTTP，为什么？...HSTS 好吧，看完上面内容后，你发现了一幅令人担忧的画面，无论你做什么，第一个请求都将是脆弱的，幸运的是，HSTS标头（HTTP Strict Transport Security）目标是解决这个问题...例如，http://sub.example.com可能适用于某些用户但不适用于其他用户，具体取决于他们之前是否访问过example.com，获得HSTS标头的用户将仅请求HTTPS站点，而其他用户会一直访问...现在浏览器可以不先访问它们的情况下知道HSTS标头的域名列表，Google维护了这样的预加载列表，该列表包含在Chrome和其他浏览器中。这个内置的预加载列表解决了第一个请求的问题。

1.7K3 0

HTTP_header安全选项（浅谈）

站点可以通过确保网站没有被嵌入到别人的站点里面，从而避免点击劫持攻击。...标签：定义外部内容的容器标签语法： DENY：表示该页面不允许在frame中展示，即便在相同域名的页面中嵌套也不可以。...MIME类型不是application/x-javascript ---- Access-Control-Allow-Origin： Access-Control-Allow-Origin 响应头指定了该响应的资源是否被允许与给定的...Security(HSTS)： HTTP Strict Transport Security（通常简称为HSTS）是一个安全功能，它告诉浏览器只能通过HTTPS访问当前资源，而不是HTTP。...*HTTP Strict Transport Security(HSTS)参考文档 ---- Content Security Policy* CSP是一个计算机的安全标志，主要用来防止XSS、点击劫持

7023 0

另类追踪之——被“策反”的安全机制

HSTS Preload List：HSTS preload list是Chrome浏览器中的HSTS预载入列表，该列表中的域名被硬编码在了浏览器中，当访问列表中的网站时，即便是第一次访问，也会默认使用...二、“策反”工作 Yan Zhu，一个独立的安全研究学者，在圣地亚哥的2015年Toorcon的安全会议上示范了自己开发的Sniffly追踪网站，Sniffly中内置了一个从Alexa网站上获取使用HSTS...如图5和6显示了用户第二次访问使用HSTS的网站，以及HSTS强制浏览器内部重定向为HTTPS协议与服务器进行交互的情况。 ? 图5 第二次访问使用HSTS网站 ?...，而未访问过的域名，则无法正常建立连接，因此这种方式不会污染浏览器的HSTS列表，如图11所示使用fidder抓包的效果。...保护的网络站点，并且只对域名和子域名进行了记录。

1.2K8 0

ASP.NET Core 6框架揭秘实例演示：HTTPS重定向

HTTPS站点绑定的证书相当于该站点的“身份证”，它解决了服务端认证（确定当前访问的不是一个钓鱼网站）的问题。...对于针对HTTP终结点的访问，浏览器还给予了一个“不安全（Not secure）”的警告。...HSTS可能是所有HTTP规范家族中最简单的一个了，因为整个规范只定义了上述这个用来传递HTTPS策略的响应报头，它被命名为“Strict-Transport-Security”。...这是一个“滑动时间”，浏览器每次在接收到携带此报头的响应之后都会将有效截止时间设置到一个月之后，这意味着对于经常访问的站点来说，HTTPS策略将将永不过期。...但是不要忘了，第一个请求采用的依旧是HTTP协议，黑客依旧可能劫持该请求并将用户重定向到钓鱼网站。

7123 0

HTTPS时代到来-七月开始Chrome 68将会把所有HTTP站点标记为不安全

为了使网络更加安全，让更多的互联网用户使用其 Chrome 浏览器，Google 宣布，未来的 Chrome 版本将把所有的 HTTP 网站标记为“不安全（non-secure）” 如果7月份，你的网站还是没有部署...“不安全”，警告用户谨慎访问，这可能造成大量用户流失在Chrome浏览器的引领下，其他浏览器也在逐步实施弃用HTTP的计划，FireFox准备将所有HTTP页面标记“不安全”，Safari也计划添加HTTP...在升级HTTPS之前，你需要一个SSL证书，可以参考我之前的文章SSL证书申请网站，给网站开启HTTPS协议配置成功以后，如果没有小绿锁的话就要检查你的网站中是否使用了HTTP协议的资源，如 js、css...协议如果你已经升级了HTTPS，为了增强网站HTTPS的兼容性，强烈推荐使用HSTS协议，具体参看本博客之前的内容：加入Prelod List使用HSTS解决全站HTTPS兼容性问题沈唁志...|一个PHPer的成长之路！

4091 0

假期期间最后的折腾：重新整理优化 SSL 证书

经过分析后发现其实完全可以把二级域名证书都集成在主域名证书里的，这样一来无论要使用哪个二级域名都只需要使用主域名的证书即可，一个证书对应多个二级域名情况下，在使用和部署 CDN 的时候就方便了很多，导入一个证书文件就可以将所有二级域名都包括了...HSTS Prelod List（预加载表）证书整理、优化完成了，目前也基本可以肯定明月所有的博客站点都会使用 HTTPS 下去的，所以把自己的站点域名都加入 HSTS Prelod List（...等等）放弃 HTTP 请求只使用 HTTPS 请求来访问自己的站点加快启用 HTTPS 后载入时间。...），其实我还是喜欢“让你的域名「嵌入」主流浏览器，一同发行！”...对了，申请加入 HSTS Prelod List（预加载表）的网址是：https://hstspreload.org/，国内有些省份宽带访问可能需要“访问外国网站”才可以的，至少明月在我们这里的电信宽带下是无法正常访问的

1.5K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭