写点什么

不是私密链接,如何继续前往?

作者:BUG侦探
  • 2022 年 1 月 11 日
  • 本文字数:756 字

    阅读完需:约 2 分钟

不是私密链接,如何继续前往?

当我们使用代理访问某些网站的时候,经常会看到如下提示,点击继续前往就可以正常访问该网站了,那么为什么有些网站无法点击继续前往呢?可以看到浏览器的提示为“因为此网站使用了 HSTS”,那么什么是 HSTS 呢?



HSTS

HSTS 是 HTTP 严格传输安全(HTTP Strict Transport Security)的缩写。是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用 HSTS 策略,来让浏览器强制使用 HTTPS 与网站进行通信,以减少会话劫持风险。


HSTS 的作用是强制客户端、浏览器使用 HTTPS 协议与服务器创建连接,并无法忽略证书警告,这种强制使用 HTTPS 的方式是由浏览器执行的,而非服务端拒绝了本次请求。


当客户端通过 HTTPS 发出请求时,服务器可以在响应头中返回 Strict-Transport-Security 字段开启 HSTS。非加密传输时设置的 HSTS 字段无效。



一般来说,中间人使用自己的自签名证书来进行中间人攻击,浏览器会给出警告,但是许多用户会忽略警告,继续访问该站点。HSTS 解决了这一问题,一旦服务器发送了 HSTS 字段,将不再允许用户忽略警告。


用户首次访问某网站是不受 HSTS 保护的。这是因为首次访问时,浏览器还未收到 HSTS,所以仍有可能通过明文 HTTP 来访问。解决这个不足目前有两种方案,一是浏览器预置 HSTS 域名列表,Google Chrome、Firefox、Internet Explorer 和 Microsoft Edge 实现了这一方案。二是将 HSTS 信息加入到域名系统记录中,但这需要保证 DNS 的安全性,也就是需要部署域名系统安全扩展(DNSSEC)。

结论

部分网站通过响应头中设置 Strict-Transport-Security 字段开启了 HSTS,所以无法继续前往,这种浏览器拦截是在遵守 HSTS 策略。而其他网站可以继续访问是因为没有开启 HSTS。

怎么继续访问开启了 HSTS 的网站呢?

浏览器页面上直接敲键盘 thisisunsafe 浏览器会直接刷新,继续访问该网站。或者在 chrome://net-internals/#hsts 页面删除该域名 hsts 策略。







发布于: 刚刚阅读数: 2
用户头像

BUG侦探

关注

还未添加个人签名 2021.06.08 加入

专注于发掘程序员/工程师的有趣灵魂,对工作中的思路与总结进行闪光播报。

评论

发布
暂无评论
不是私密链接,如何继续前往?