AFAIK HSTS是一個服務器端屬性,告訴瀏覽器只能使用該服務器的https請求(如果我錯了,請糾正我)。libcurl是否支持嚴格的傳輸安全性(HSTS)?
對於從http重定向到https的情況,HSTS不起作用,在此重定向MIM幀攻擊的時間框架內可能發生,除非您的站點在瀏覽器HSTS列表中列出。
如果我有一臺服務器只能從libcurl獲取請求,那麼我是否需要支持HSTS? 它有什麼含義? libcurl是否也支持HSTS,並且只有在從服務器接收到此參數後才與https站點一起工作?
AFAIK HSTS是一個服務器端屬性,告訴瀏覽器只能使用該服務器的https請求(如果我錯了,請糾正我)。
沒錯。
對於從http重定向到https的情況,HSTS不起作用,在此重定向時間框架內MIM攻擊可能發生,除非您的站點列在瀏覽器HSTS列表中。
如果用戶代理不瞭解HSTS,那麼它根本沒有任何幫助。此外,HSTS是「首次使用的信任」功能。這意味着如果用戶代理沒有域的HSTS記錄並依賴重定向到HTTPS,則用戶代理別無選擇,只能相信這一點。 HSTS預加載旨在解決這個問題,即對於HSTS,域總是固定爲「是」。
如果我有一臺服務器只能從libcurl獲取請求,我是否需要支持HSTS?它會有什麼意義? libcurl是否也支持HSTS,並且只有在從服務器接收到此參數後才與https站點一起工作?
使用libcurl本身與HSTS沒有直接的好處。 libcurl不記錄已知的HSTS主機。使用libcurl的開發人員可以在libcurl的基礎上開發HSTS,但是今天的libcurl本身並沒有這樣做。