2012-07-30 69 views
9

我對捲曲是全新的,並且試圖確定網站是否使用Strict-Transport-Security。如何找到一個網站是否使用HSTS

我正在失去意見。我被告知要檢查Chrome's preloaded list和運行

curl -D - https://www.example.com | head -n 20 

檢查嚴格,運輸和安全標頭。

但'頭'命令產生了一個錯誤,是未知的。

任何想法?

自動櫃員機我運行的是Win XP,將在幾天內有一個Linux發行版。

謝謝。

回答

15

該方法沒問題。

$ curl -s -D- https://paypal.com/ | grep Strict 
Strict-Transport-Security: max-age=14400 

正如你已經注意到,一些Web服務器只是拒絕兌付HEAD請求。 curl將打印爲GET請求頭與-v

$ curl -s -vv https://paypal.com/ 2>&1 | grep Strict 
< Strict-Transport-Security: max-age=14400 

<意味着頭是一個由服務器返回給你。

實際example.com,在你的榜樣,將無法工作,因爲它不會對https://聽都:

$ curl -D- https://www.example.com 
curl: (7) couldn't connect to host 

彷彿是在https://交付Strict-Transport-Security頭只榮幸,這是非常可以安全地假設任何不響應https://的站點都沒有使用STS,特別是因爲它沒有理由這樣做。

1

Chrome提供了一個HSTS檢查功能chrome://net-internals#hsts

但要知道,瀏覽器也很喜歡,只要你申請一個網站通過https添加的條目。

剛把Chrome重定向到https的內部網站沒有https證書。甚至沒有聽443。毫不奇怪,捲曲沒有返回一個嚴格的標題。然後我發現chrome有一個內部HSTS列表。可以從chrome:// net-internals#hsts中清除,不包括全球Google維護列表。

相關問題