Empfohlene Lektüre: Die Wikipedia-Seite und der RFC selbst . Auf der Wikipedia-Seite finden Sie Implementierungscode für verschiedene Webserver und die Antwort auf Ihre Frage im RFC .
Ladadadada
@Ladadadada, außer dass der RFC imo nicht klar genug über Domains ist. Ist die Domain in dieser Frage immer yyy.com oder würde die Ausgabe eines sts-Headers von xxx.yyy.com nur für * .xxx.yyy.com gelten (und somit xxx.yyy.com als "Domain" behandeln)?
Bvgheluwe
Antworten:
15
Ja.
Senden Sie den Strict-Transport-SecurityHeader nur für xxx.yyy.comund geben Sie ihn nicht an includeSubDomains.
Browser, die HSTS ordnungsgemäß verarbeiten, legen xxx.yyy.comin diesem Fall nur die Anforderung für die angegebene Subdomain ( ) fest.
Ich bin nur neugierig, was würde passieren, wenn das Strict-Transport-Securityon xxx.yyy.comdas beinhalten würde includeSubDomains? Würde das nicht nur Auswirkungen haben *.xxx.yyy.com?
Aaron Gibralter
1
@AaronGibralter Das ist mein Verständnis (und meine Interpretation der ursprünglichen Frage war " nur für xxx.yyy.com", weshalb ich sagte, nicht zu setzen includeSubDomains) - Wenn Sie möchten, dass die Subdomänen von xxx.yyy.comauch HSTS erzwingen, sollten Sie includeSubDomainsin der Kopfzeile setzen.
voretaq7
2
Wenn includeSubDomainsvorhanden ist, wirkt xxx.yyy.comsich dies auch aus *.yyy.com? (dh wird es brechen, zzz.yyy.comwenn es kein HTTPS unterhält)?
mg007
Ich kann das bestätigen. Meine Bank hat www.bank.com und homebanking.bank.com. Dies sind separate Einträge in der hsts-Liste des Browsers, die unabhängig voneinander erstellt werden. Die hsts-Liste von Chrome kann über chrome durchsucht werden: // net-internals / # hsts -> "HSTS / PKP-Domain abfragen" (beachten Sie, dass es sich um eine genaue Suche handelt: "bank" hat kein Ergebnis geliefert).
Antworten:
Ja.
Senden Sie den
Strict-Transport-SecurityHeader nur fürxxx.yyy.comund geben Sie ihn nicht anincludeSubDomains.Browser, die HSTS ordnungsgemäß verarbeiten, legen
xxx.yyy.comin diesem Fall nur die Anforderung für die angegebene Subdomain ( ) fest.quelle
Strict-Transport-Securityonxxx.yyy.comdas beinhalten würdeincludeSubDomains? Würde das nicht nur Auswirkungen haben*.xxx.yyy.com?xxx.yyy.com", weshalb ich sagte, nicht zu setzenincludeSubDomains) - Wenn Sie möchten, dass die Subdomänen vonxxx.yyy.comauch HSTS erzwingen, sollten SieincludeSubDomainsin der Kopfzeile setzen.includeSubDomainsvorhanden ist, wirktxxx.yyy.comsich dies auch aus*.yyy.com? (dh wird es brechen,zzz.yyy.comwenn es kein HTTPS unterhält)?