HSTS:当我没有子域名时使用includeSubdomains
问题描述:
问题几乎出现在标题本身。如果我有一个应用程序,并且使用includeSubdomains
作为HSTS标头,但根本没有子域名,这是否被认为是好还是不好?HSTS:当我没有子域名时使用includeSubdomains
答
这很好。
如果您打算提交您的网站Google's HSTS Preload list,你将需要有
includeSubdomains
指令,即使你有没有子域。如果您计划创建子域名,这意味着您需要将其设置为支持第1天的HTTPS。我认为这是一件好事,因为它对安全性有利。
答
这很好。
假设你有https://example.com这就是你所用的全部。 HSTS确保您只能使用在此域上使用HTTPS。这可以防止降级攻击。
没有includeSubDomain,攻击者可以设置和使用假的子域像http://www.example.com或http://secure.example.com或http://anyotherlegitimatssounsingsubdomain.example.com和转弯它们通过HTTP和让人们以某种方式去代替https://example.com那里。当然,这需要访问操纵受害者的DNS,但这可以通过某些技术来实现。
由于它是您主域的子域,它将看起来合法(虽然不会有https),并且也可能泄漏或覆盖主域的Cookie。
仅仅因为你不使用子域名并不意味着你的用户知道这一点。
对于一个应用程序来说,这可能不那么重要,因为该URL将在应用程序中设置并且更难以更改,并且它们通常不使用Cookie,但它仍被认为是使用includeSubDomain的最佳实践。