刚才看了看关于 HSTS 的资料,突然有这么个想法:
如果说 preload 是为了防止中间人,硬编码到浏览器里的,那么为什么没有 preload 证书这种东西,能够在获取证书的时候就知道某个站点 preload (而且这样的话就可以不硬编码了)?
1
xupefei 2018-06-30 16:04:29 +08:00 via Android
Http 头里不就有参数干这个么
|
2
isCyan 2018-06-30 16:08:27 +08:00 2
preload 证书是证书对吧
传送证书就是使用 https 协议对吧 那么用户使用 http 协议的话,你的 preload 证书根本发送不到浏览器 那么如果加上 http to https 的跳转,引导用户使用 https 攻击者就可以劫持这个跳转请求,也就是唯一的使用 http 协议的请求,阻止跳转到 https 或者干别的事情 所以没有任何用 |
3
billchenchina OP |
4
SingeeKing 2018-06-30 16:22:06 +08:00
「在获取证书的时候就知道某个站点 preload 」
这不就是 HSTS 头吗。。。 |
5
jsq2627 2018-06-30 21:33:09 +08:00
HPKP?
|
6
RqPS6rhmP3Nyn3Tm 2018-07-01 15:01:19 +08:00 via iPhone
根证书都是内置的,没啥用
|