防駭客必學!一次搞懂 IIS HSTS 設定,告別 HTTPS 降級攻擊
你的網站已經設定 HTTPS 了嗎?光設定 HTTPS 還不夠——本文拆解 HSTS 的運作原理,並示範在 IIS 上的兩種設定方式。 問題發現:弱點掃描警告最近在進行專案的弱點掃描時,發現了一個低風險的問題: 弱點說明提到:應用程式未設定 HTTP Strict Transport Security (HSTS) 標頭。這可能讓攻擊者有機會進行 HTTPS 降級攻擊,竊取敏感資訊。 什麼是 HSTS?為什麼這麼重要?HSTS 全名是 HTTP Strict Transport Security,定義於 RFC 6797,是一個 HTTP 擴充標準。它的主要功能是: 強制瀏覽器使用 HTTPS 與網站進行通訊 有效防禦 SSL 剝離攻擊 保護使用者的敏感資訊 避免憑證警告被忽略 HSTS 運作原理讓我們看看 HSTS 是如何運作的: 使用者第一次存取網站 伺服器在回應中加入 HSTS 標頭 瀏覽器記住這個安全設定 之後瀏覽器在發出請求前,會於本機直接將 HTTP 升級為 HTTPS(307 Internal Redirect),不會先送出不安全的請求 有效防止中間人攻擊 ...




