为什么 google.com 没有在 http 严格传输安全响应 header 上设置 includeSubDomains 指令?
google.com HSTS 响应 header 类似于:
Strict-Transport-Security:max-age=86400
为什么不
Strict-Transport-Security: max-age=86400; includeSubDomains
第二个从我这边应该更安全,是吗??
最佳答案
它是静态的
使用 Google Chrome,您可以转到 chrome://net-internals/#hsts
并查询不同的域。输入 google.com
并单击“查询”将返回结果列表。
在该结果列表中,您可以看到 static_sts_include_subdomains
为 true,dynamic_sts_include_subdomains
为 false。这比动态设置要好,动态设置很容易受到攻击,浏览器第一次使用 http://
(而不是 https://
)请求域时对手拦截通信。为了克服这个弱点,我们有静态模式,允许将 HSTS 记录直接硬编码到浏览器的源代码中。
希望这有帮助
关于http - 为什么 google.com 不在 HSTS 响应 header 上设置 includeSubDomains 指令?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/48515902/