多达 95% 的 HTTPS 链接能被黑客劫持

Web 管理员们并没有学会或被告知如何正确地设置 HSTS。 针对这些不安全的站点的最容易的攻击场景是 HTTPS 降级攻击，攻击者可以选择多种方式来迫使一个看起来安全的 HTTPS 连接根本不使用数据加密或使用更弱的算法，这样攻击者就可以进行数据窃取了。 据安全研究人员称，在这 95% 的没有正确设置 HSTS 的站点中，有很多银行和金融机构的网站。 你可以通过下面一行配置激活你的 HSTS 不需要费脑筋，你只需要将下述的一行配置添加到你的 HTTPS 服务器配置中即可实现 HSTS。 Strict-Transport-Security: max-age=31536000; 这一行可以让服务器告诉浏览器仅通过 HTTPS 连接来访问其内容，其策略有效期为长达一年的最大有效时间。 当上述配置生效...阅读全文