我對如何將所有的http頁面重定向到https都有疑問。將HTTP請求重定向到HTTPS的推薦方式
我已經看見有說是有人告訴這個reply做一個重寫,如:
而且阿帕奇說,在this way
任何人做可以解釋我什麼是使這一變化的推薦方法
我對如何將所有的http頁面重定向到https都有疑問。將HTTP請求重定向到HTTPS的推薦方式
我已經看見有說是有人告訴這個reply做一個重寫,如:
而且阿帕奇說,在this way
任何人做可以解釋我什麼是使這一變化的推薦方法
將http重定向到https的唯一安全方法是使用帶預加載選項的HSTS(標頭嚴格傳輸安全性)。
Apache重定向是不安全的,因爲攻擊者可以攔截它並重寫它。不幸的是,舊的瀏覽器和瀏覽器怎麼也沒有預裝HSTS,這是你唯一的選擇:
<VirtualHost *:80>
ServerName www.example.com
Redirect "/" "https://www.example.com/"
</VirtualHost>
在HTTPS響應:
<VirtualHost *:443>
# Use HTTP Strict Transport Security to force client to use secure connections only
# Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header always set Strict-Transport-Security "max-age=31536000"
# Further Configuration goes here
[...]
</VirtualHost>
或者,使用.htaccess:
# Redirect if http
RewriteCond %{HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# set header if https
# Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
頁眉嚴格,運輸和安全(HSTS)有2個作用:
的HSTS最安全的一個,但不能被回滾:
不是在評論中HSTS是因爲第一個不太安全連接仍然可以是inse治癒,並且沒有保護子域:
HSTS是針對SSLTrip
SEO影響的唯一可靠的保障:如果該網站已經將所有http網頁重定向到https,然後該標題沒有負面影響(也沒有正面影響)。
添加只是根低於或高於文檔中/etc/apache2/sites-available/yoursite.conf
永久重定向/ https://your-site.com/
該答案正確但不完整:沒有HSTS,apache重定向總是不安全。 – Tom
你能告訴我我需要做這些改變嗎? – Overnet
@Overnet我已經更新了答案。 – Tom
感謝湯姆,但現在的問題是如何將這些線路在端口80,433上的directadmin界面:( – Overnet