我對捲曲是全新的,並且試圖確定網站是否使用Strict-Transport-Security。如何找到一個網站是否使用HSTS
我正在失去意見。我被告知要檢查Chrome's preloaded list和運行
curl -D - https://www.example.com | head -n 20
檢查嚴格,運輸和安全標頭。
但'頭'命令產生了一個錯誤,是未知的。
任何想法?
自動櫃員機我運行的是Win XP,將在幾天內有一個Linux發行版。
謝謝。
我對捲曲是全新的,並且試圖確定網站是否使用Strict-Transport-Security。如何找到一個網站是否使用HSTS
我正在失去意見。我被告知要檢查Chrome's preloaded list和運行
curl -D - https://www.example.com | head -n 20
檢查嚴格,運輸和安全標頭。
但'頭'命令產生了一個錯誤,是未知的。
任何想法?
自動櫃員機我運行的是Win XP,將在幾天內有一個Linux發行版。
謝謝。
該方法沒問題。
$ curl -s -D- https://paypal.com/ | grep Strict
Strict-Transport-Security: max-age=14400
正如你已經注意到,一些Web服務器只是拒絕兌付HEAD
請求。 curl
將打印爲GET
請求頭與-v
:
$ curl -s -vv https://paypal.com/ 2>&1 | grep Strict
< Strict-Transport-Security: max-age=14400
的<
意味着頭是一個由服務器返回給你。
實際example.com
,在你的榜樣,將無法工作,因爲它不會對https://
聽都:
$ curl -D- https://www.example.com
curl: (7) couldn't connect to host
彷彿是在https://
交付Strict-Transport-Security
頭只榮幸,這是非常可以安全地假設任何不響應https://
的站點都沒有使用STS,特別是因爲它沒有理由這樣做。
Chrome提供了一個HSTS檢查功能chrome://net-internals#hsts
但要知道,瀏覽器也很喜歡,只要你申請一個網站通過https添加的條目。
剛把Chrome重定向到https的內部網站沒有https證書。甚至沒有聽443。毫不奇怪,捲曲沒有返回一個嚴格的標題。然後我發現chrome有一個內部HSTS列表。可以從chrome:// net-internals#hsts中清除,不包括全球Google維護列表。