51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Curl即将支持HSTS

作者:虫虫安全
系统 浏览器
实现全面HTTPS化有一个协议很关键,那就是HSTS协议,而HSTS有赖于各个Web服务器和浏览器客户端的支持,本文我们就来说说即将发布Curl7.74对HSTS的支持。

全面HTTPS化是目前互联网的共识,基本上目前所有的浏览器均已经将使用HTTP协议或者部分HTTPS的站点表示为了不安全。而且实现全面HTTPS化有一个协议很关键,那就是HSTS协议,而HSTS有赖于各个Web服务器和浏览器客户端的支持,本文我们就来说说即将发布Curl7.74对HSTS的支持。

[[350920]]

概述

HSTS(HTTP Strict Transport Security,HTTP严格安全传输协议,是用于站点的标准HTTP响应标头,用于告知客户端在指定时间段内,该主机不接受纯HTTP访问,只使用HTTPS进行访问。该协议在2012年的RFC 6797中提出。

由于历史遗留原因或者考虑到兼容性问题,网站可能会同时支持通过HTTP和HTTPS访问服务器资源,对http请求通过301/302跳转到https,这样就无法真正减少中间人攻击,存在被劫持的风险。

Curl即将支持HSTS

HSTS和浏览器预加载

Curl即将支持HSTS

HSTS 主要是通过服务器发送Strict-Transport-Security头的方式来控制浏览器操作:

首先在服务器响应头中添加 HSTS 响应头:

Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]

该响应头只有在 https 访问才生效,其中[ ]中的参数表示可选;max-age 参数为设置的时间,建议为6个月,即15552000秒。

典型一个nginx设置为

  1. server { 
  2. … 
  3. add_header Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"; 
  4. … 

当用户下次使用 HTTP 访问,客户端浏览器就会进行内部跳转307 Redirect Interne,直接访问HTTPS,而无任何HTTP请求。

开启 HSTS后网站可以有效防范中间人劫持,无需301/302跳转也可以调高网站性能和用户访问体验。

HSTS的Strict-Transport-Security HTTP标头为流行浏览器中预加载列表之一。可以用他们预加载站点的系统设置。首次启动浏览器时就已经知道其站点HSTS状态。

Curl中HSTS的实现

预计在2020年12月发布的curl 7.74.0开始,curl开始提供HSTS实验性支持,默认情况不会启用,不。

可以通过参数--enable-hsts手动启动curl HSTS,使用--hsts 来配置HSTS信息加载/保存高速缓存保存到文件,HSTS会被缓存,并在退出时进行更新。如果重复使用同一缓存文件进行调用,通过HSTS标头,就可以有效地避免使用明文HTTP访问。

libcurl

libcurl库也加入了该功能,用来进行HTTP(S)传输的应用程序可以使用。使用libcurl,应用程序可以设置文件名以用于加载和保存高速缓存,还提供了一些附加选项,以提供更大的灵活性和功能:

Curl即将支持HSTS

CURLOPT_HSTS:允许设置一个文件名以从/向中读取/写入HSTS缓存。

  1. CURL *curl = curl_easy_init(); 
  2. if(curl) { 
  3. curl_easy_setopt(curl, CURLOPT_HSTS, "/home/user/.hsts-cache"); 
  4. curl_easy_perform(curl); 

CURLOPT_HSTS_CTRL:启用此传输的HSTS功能。

  1. CURL *curl = curl_easy_init(); 
  2. if(curl) { 
  3. curl_easy_setopt(curl, CURLOPT_HSTS_CTRL, CURLHSTS_ENABLE); 
  4. curl_easy_perform(curl); 

CURLOPT_HSTSREADFUNCTION:libcurl即将开始传输时,由libcurl调用该回调,并允许应用程序预加载HSTS条目,就像它们是通过curl读取并添加到缓存中一样。

  2. /* set HSTS read callback */ 
  3. curl_easy_setopt(curl, CURLOPT_HSTSREADFUNCTION, hstsread); 
  4.  
  5. /* pass in suitable argument to the callback */ 
  6. curl_easy_setopt(curl, CURLOPT_HSTSREADDATA, &hstspreload[0]); 
  7.  
  8. result = curl_easy_perform(curl); 

: libcurl刷新其内存中的缓存并允许应用程序将缓存保存在某处或类似的地方时,会重复调用此回调。

  1. CURL *curl = curl_easy_init(); 
  2. struct MyData this; 
  3. if(curl) { 
  4. curl_easy_setopt(curl, CURLOPT_URL, "http://example.com"); 
  5.  
  6. /* pass pointer that gets passed in to the 
  7. CURLOPT_HSTSREADFUNCTION callback */ 
  8. curl_easy_setopt(curl, CURLOPT_HSTSREADDATA, &this); 
  9.  
  10. curl_easy_perform(curl); 

 

责任编辑:赵宁宁 来源: 今日头条
CurlHSTSHTTPS
相关推荐
AppCan即将全面支持Windows 8
日前,国内领先的移动互联网应用支撑平台AppCan宣布即将全面支持Windows8。自从2012年10月26日微软正式推出全新的Windows8平台后,Windows8借助独特的Metro界面以及来自Intel、AMD、ARM强大的芯片架构支持,已经获得大量消费者亲睐,被广泛应用到个人电脑以及平板电脑上。

2013-07-10 17:43:04

AppCan
Windows Vista即将停止主流支持服务
根据微软此前制定的日程表,WindowsVista系统将从2012年4月10日起退出主流支持行列,进入扩展支持服务期。这意味着普通用户将不会获得非安全方面的hotfix补丁,同时,未来的IE浏览器(如IE10)也不会支持WindowsVista。

2012-04-11 09:30:06

WindowsVista主流
支持虚拟键盘 Android 1.5版即将发布
日前有消息表示,Android1.5这一版本将要登场,Android这个广受关注的开源系统又要进行重大更新。而从Google方面的表现可以看出,虽然没有公布Android1.5版的发布时间,但是重视程度可想而知。

2009-04-15 08:10:44

AndroidGoogle移动OS
Android即将支持GO语言,从游戏开始
Android是是支承应用程序的操作系统,谷歌打算在Android平台引入Go,重点是支持在Android上使用Go写游戏.将会使用现有的API接口。

2014-07-14 15:51:08

AndroidGO语言
Web 安全之 HSTS 详解和使用
HSTS是一种很有用的网络安全机制,可以用于提高网站的安全性和可靠性,有效防范中间人攻击和CrossSiteRequestForgery等攻击,建议所有网站都启用HSTS功能。同时,也需要定期检查和更新网站的安全设置,以确保安全性和可靠性。

2023-09-27 09:18:35

从HTTP到HTTPS再到HSTS,你了解多少?
近些年,随着域名劫持、信息泄漏等网络安全事件的频繁发生,网站安全也变得越来越重要,也促成了网络传输协议从HTTP到HTTPS再到HSTS的转变。

2017-09-12 15:26:44

Windows即将支持安卓应用
关于微软和苹果,两家的关系一直很微妙。可以说两家从创立就开始互相嘲讽。乔布斯时代,还会在发布会调侃PC(微软),甚至还拍了一系列广告来嘲讽。当然,不得不说的是,微软依然是目前全球装机率最高的系统。也为我们带来了WindowsXP、Windows7、Windows10这样的经典系统。

2021-01-05 14:25:45

Windows苹果安卓
Google Maps for S60即将开始支持层特性
GoogleMapsforWindowsMobile和GoogleMapsfor60的版本今天正式开始支持层特性,最早的应用是来自Wikipedia的文章。

2009-07-24 09:26:27

Google Maps
华为鸿蒙即将亮相 媒体宜支持不宜捧杀
华为微内核和新编译器是原理性的胜利、五年后鸿蒙基本替代安卓、华为让谷歌无法淡定等论调则是赞美。

2019-06-25 08:50:43

华为禁令开发
微软宣布即将停止对部分旧系统的支持
微软发布警告称,将在今年上半年停止对一些旧版Windows系统的支持。

2010-02-26 08:59:29

Windows微软技术支持
微软 Teams 即将增加对空间音频的支持
微软365路线图上增加了不少正在开发中的Teams新功能,其中之一就是Teams即将能够支持空间音频。

2023-03-09 22:08:28

Vue 2 即将结束支持,你需要注意这些!
当Vue2最终到达EOL时,这将是一个令人感慨的时刻。Vue3生态系统正在蓬勃发展,不断创新。Vue3.4目前正在测试阶段,编译器和运行时都有性能改进。Vue团队也正在Vapor模式方面取得良好进展。Vue2的结束只是一个新的开始,2024年将是Vue令人激动的一年!

2023-12-16 10:37:58

Vue 2框架功能
HSTS在浏览器上的应用详解
本文主要讲解HSTS在浏览器上的应用。

2017-03-03 16:50:01

Ubuntu 14.04 即将结束支持,你该怎么办?
Ubuntu14.04即将于2019年4月30日结束支持。这意味着在此日期之后Ubuntu14.04用户将无法获得安全和维护更新。

2019-04-15 10:45:37

微软开始警告 Windows10 版本 1909 即将停止支持
外媒WindowsLatest报道,如果你仍在运行Windows10版本1909、版本1903或更早的版本,你可能已经注意到系统托盘中的一条新消息通知:你的Windows10版本很快就会达到服务的终点。

2021-03-23 12:28:22

Windows 10Windows微软
ChromeOS终端应用程序暗示其即将支持Linux应用
Chromebook也可以运行Linux程序。这种可能性在去年2月已经暗示,但随着终端应用程序在Chrome操作系统的开发通道中出现,这种情况可能会很快到来。

2018-04-24 08:46:26

ChromeOSLinux应用
谷歌即将推出的Chrome支持视网膜显示屏
谷歌于本周三透露,其Chrome浏览器在苹果新网膜显示屏的MacBookPro上占有优势。谷歌软件工程师NicoWeber在公司的官方Chrome博客上张贴了高分辨率支持的Chrome截图,并表示:“我们在未来的几个星期将着力于使Chrome变得更加美丽。”

2012-06-14 10:57:59

Chrome视网膜显示屏
Javascript支持数组分组(groupBy)的方法即将到来!
本文介绍了JavaScript​中即将引入的Object.groupBy和Map.groupBy​两种原生分组方法的使用。这些两种原生分组方法将填补JavaScript开发中的空白,使前端开发人员能够更轻松地进行分组操作,提高了编程效率和代码质量。希望本文能对你以后的工作有所帮助。

2023-11-03 07:21:40

Javascript数组分组
支持代码转换 英特尔Sandy Bridge即将上市
英特尔将首次在“SandyBridge”芯片种包含一个专用的芯片以处理代码转换,也就是把数据从一种格式转换为另一种格式。

2010-08-20 09:48:28

英特尔Sandy Br
HSTS或是拯救者
采用HSTS安全协议的优势在于不但能够增强数据传输安全性,避免在转化过程中收到网络攻击,还可以减少网站301302跳转时所花费的大量时间,极大提高安全系数和用户体验。

2017-09-18 10:48:50

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服