Fechar a conexão não HTTPS no Nginx

Navegue suas respostas
3

Estou usando a autenticação básica em que o usuário envia seu nome de usuário uma senha no cabeçalho. Essas solicitações serão feitas via HTTPS para segurança (já que a senha estaria em texto simples). Se o usuário acidentalmente fizer uma solicitação via HTTP, existe uma maneira no nginx em que eu possa fechar a conexão antes que eles enviem seu cabeçalho de autorização? Eu estou preocupado se eu simplesmente redirecioná-los para HTTPS, sua senha ainda será enviada em texto simples para o primeiro pedido.

    
por greatwitenorth 31.07.2013 / 18:50

1 resposta

2

Isso é o que Segurança Estrita de Transporte é para.

Adicione isso nos blocos server apropriados: 

add_header Strict-Transport-Security max-age=315360000;

Isso instruirá os navegadores da Web, uma vez que tenham visitado seu site pelo menos uma vez, para nunca mais tentar visitá-lo (dentro do número de segundos especificado por max-age ) sem usar HTTPS.

A hora que você especifica em max-age deve ser pelo menos tão longa quanto a duração de qualquer cookie que você forneça ao usuário.

Observe que você deve veicular somente esse cabeçalho em respostas HTTPS e que, para concluir o loop, você deve redirecionar todas as solicitações HTTP para o equivalente URL HTTPS .

    
por 31.07.2013 / 18:55

Tags

Força HTTPS com Load Balancer e sem (reescrita .htaccess) Erro de resolução do nome de destino quando o servidor Hyper-V 2012 é gerenciado remotamente