配置Public-Key-Pins头后浏览器还是报证书错误怎么办?
我给网站配置了Public-Key-Pins头,参考了文档写死了当前证书和备用密钥的pin值,但访问时Chrome还是提示“证书无效”。明明证书指纹和includeSubDomains参数都对,是不是哪里漏了?
配置的代码是这样的:
Public-Key-Pins: pin-sha256="示例值"; pin-sha256="备用值"; max-age=518400; includeSubDomains但控制台报错“HPKP pin验证失败”,服务器是Nginx,重启后缓存也清过了…
难道还要设置report-uri?或者因为测试环境用了自签名证书导致pin无效?其他安全头比如HSTS都正常…
- 2
回答
30浏览
Public-Key-Pins配置后浏览器报错,哪里出问题了?
我在本地测试环境配置了Public-Key-Pins头,但访问页面时Chrome直接显示证书错误,页面完全无法加载。之前已经按文档生成了证书的指纹,备用密钥也配置了,但还是报错: Public-Key...
- 2
回答
48浏览
Expect-CT头配置后为什么还是出现证书错误提示?
我在Vue项目里设置了Expect-CT头,但访问页面时还是弹出证书错误警告,搞不懂哪里出问题了。配置代码是这样写的: <nuxt> </nuxt> // 在nuxt.conf...
- 1
回答
52浏览
为什么keypress事件无法捕获输入的字符?
在给输入框做实时验证时发现,用keypress事件监听输入,event.charCode返回的值总不正确,比如输入字母a会得到97,但转成字符串却变成undefined... 尝试过这样写: inpu...
- 2
回答
14浏览
为什么我的keypress事件无法捕获Enter键的输入?
我正在给一个搜索输入框添加键盘交互,想用keypress事件监听回车键触发搜索。按回车时控制台没有任何反应,但用keydown却能正常触发。我试过检查事件对象的keyCode和key属性,发现keyp...
- 2
回答
26浏览
为什么keypress事件检测到的大写字母显示为小写?
我给输入框绑定了keypress事件,想记录用户输入的每个字符。但发现当按下Shift+字母键时(比如Shift+A),event.key返回的始终是小写字母"a",而不是预期的大写"A"。这该怎么正...
- 2
回答
61浏览
输入框的keydown事件在回车键按下时没反应怎么办?
我给输入框绑定了keydown事件,想用回车触发提交,但按回车完全没反应。其他键比如字母键能正常触发,控制台也没报错。试过把事件改到父元素上还是不行,这是为什么啊? <input type=&q...
- 2
回答
27浏览
React里把API Key写在组件里提交请求,这样会不会泄露?
我在写一个天气查询组件时,直接把OpenWeatherMap的API Key写在React组件的请求里了。但同事说这样部署后会被别人直接看到,应该怎么办?我试过用.env文件存变量,但开发环境老报40...
- 2
回答
26浏览
HTTPS配置后SEO工具提示存在混合内容错误怎么办?
最近给网站配置了HTTPS,但SEO检测工具总提示存在混合内容错误。我已经检查过所有资源链接了,但问题还是没解决: .header-logo { background: url(http://exam...
- 1
回答
38浏览
Webpack打包后静态资源路径404,如何正确配置publicPath?
我在用Webpack打包项目时,打包后的图片资源总是报404错误。虽然在output里设置了publicPath: './',但访问时路径还是变成/static/img/logo.png导致找不到文件...
- 2
回答
19浏览
为什么我的网站启用了CT后,浏览器还是不显示证书透明度标记?
我最近在配置网站的安全头,启用了Certificate Transparency,但发现浏览器没有显示相关标记。我检查了SSL证书,确认CT日志已经添加,但可能哪里漏了?我尝试在Nginx配置里添加了...
另外你的配置确实少了report-uri,虽然不是导致问题的主因,但加上会更好。还有几个点需要注意:
第一,确保你pin的是证书链中正确的那个证书,一般是直接给域名签发的那个,而不是中间证书或者根证书。可以通过下面这个命令提取证书的pin值,确认下是不是配错了:
第二,max-age值别设太大,尤其在调试阶段,建议先改成60秒,不然缓存时间太长改错了都看不到效果。
第三,Nginx配置里记得把Public-Key-Pins这行放到server块里,类似这样:
最后提醒一句,HPKP这东西风险挺大,配错了可能导致网站完全不可访问,连回滚的机会都没有。Chrome从2018年起已经不支持HPKP了,现在更推荐用Certificate Transparency机制来增强安全性。实在要配的话,建议先在非核心业务上试试水。
自签名证书的问题:如果你用的是自签名证书,浏览器不会信任它,也就不会认可 pin 的有效性。HPKP 是基于信任链的,根证书必须被浏览器信任才行。用 Let's Encrypt 或其他可信 CA 签发的证书试试。
证书链不完整:Nginx 配置证书时如果没有正确拼接中间证书,会导致证书链不完整,浏览器校验失败。检查你的 crt 文件是否包含完整的证书链。
pin 值计算错误:确保 pin-sha256 的值是当前证书公钥的正确指纹。可以用如下命令生成:
如果是备用证书,也要对其公钥做同样操作。
是否启用了 HSTS:HPKP 是基于 HSTS 的,必须先设置 HSTS 头,否则浏览器不会执行 pin 校验:
Strict-Transport-Security: max-age=63072000; includeSubDomains; preloadreport-uri 是可选项:不设置不会影响 pin 生效,但加上它可以在出问题时上报,方便调试。
浏览器缓存问题:HPKP 一旦生效,浏览器会缓存很久,即使你改了配置也不会马上清除。建议测试阶段把
max-age设成小值(如 300)。如果以上都确认没问题,可以尝试用
curl -I https://yourdomain或浏览器开发者工具的“Security”标签看证书详情和响应头是否匹配。