Public-Key-Pins配置后浏览器报错,哪里出问题了?
我在本地测试环境配置了Public-Key-Pins头,但访问页面时Chrome直接显示证书错误,页面完全无法加载。之前已经按文档生成了证书的指纹,备用密钥也配置了,但还是报错:
Public-Key-Pins: pin-sha256="a1b2c3d4..."; pin-sha256="e5f6g7h8..."; max-age=86400; includeSubdomains; report-uri=/hpkp-report
尝试过清除浏览器缓存、重启服务,甚至换其他浏览器测试,依然提示“Public Key Pinning Error – No certificates matched”。测试环境用的是自签名证书,会不会是因为证书问题导致HPKP生效反而更严格了?
- 2
回答
24浏览
配置Public-Key-Pins头后浏览器还是报证书错误怎么办?
我给网站配置了Public-Key-Pins头,参考了文档写死了当前证书和备用密钥的pin值,但访问时Chrome还是提示“证书无效”。明明证书指纹和includeSubDomains参数都对,是不是...
- 1
回答
51浏览
为什么keypress事件无法捕获输入的字符?
在给输入框做实时验证时发现,用keypress事件监听输入,event.charCode返回的值总不正确,比如输入字母a会得到97,但转成字符串却变成undefined... 尝试过这样写: inpu...
- 2
回答
14浏览
为什么我的keypress事件无法捕获Enter键的输入?
我正在给一个搜索输入框添加键盘交互,想用keypress事件监听回车键触发搜索。按回车时控制台没有任何反应,但用keydown却能正常触发。我试过检查事件对象的keyCode和key属性,发现keyp...
- 2
回答
25浏览
为什么keypress事件检测到的大写字母显示为小写?
我给输入框绑定了keypress事件,想记录用户输入的每个字符。但发现当按下Shift+字母键时(比如Shift+A),event.key返回的始终是小写字母"a",而不是预期的大写"A"。这该怎么正...
- 2
回答
61浏览
输入框的keydown事件在回车键按下时没反应怎么办?
我给输入框绑定了keydown事件,想用回车触发提交,但按回车完全没反应。其他键比如字母键能正常触发,控制台也没报错。试过把事件改到父元素上还是不行,这是为什么啊? <input type=&q...
- 2
回答
27浏览
React里把API Key写在组件里提交请求,这样会不会泄露?
我在写一个天气查询组件时,直接把OpenWeatherMap的API Key写在React组件的请求里了。但同事说这样部署后会被别人直接看到,应该怎么办?我试过用.env文件存变量,但开发环境老报40...
- 2
回答
35浏览
为什么我的CSP头配置总是报错?路径和语法都没问题
我在给项目加CSP头的时候遇到奇怪的问题,明明按照文档写了meta标签,但浏览器还是提示违反CSP策略。检查过路径和语法都没问题,这是为什么啊? 代码是这样写的,设置了script-src只允许sel...
- 2
回答
44浏览
React Native打包安卓apk时出现签名配置错误怎么办?
我在用React Native打包安卓release版时一直报错,提示Keystore file not found。按照官方文档配置了android/app/build.gradle的signing...
- 1
回答
14浏览
Nitro dev模式下静态图片路径404,怎么配置才能正确访问?
在Nuxt3项目里用Nitro开发服务器运行时,引用public/image目录下的logo.png一直报404。我直接写和都试过了, 控制台报错显示:GET http://localhost:300...
- 2
回答
19浏览
迁移Vite到4.x后react插件配置报错怎么办?
今天升级Vite到4.x后,react插件配置突然报错了。之前用vite-plugin-react时这样写的: import react from '@vitejs/plugin-react' exp...
首先,自签名证书本身的问题。HPKP要求你配置的公钥指纹必须与当前服务器证书链中的某个公钥完全匹配。如果你用的是自签名证书,而这个证书的公钥没有被正确提取并配置到
pin-sha256中,那么浏览器自然会报错说“No certificates matched”。所以第一步,你需要确认你的证书生成和指纹提取是否正确。这里我给你一个完整的步骤来验证和解决这个问题:
第一步,重新提取你的证书公钥指纹。假设你的证书文件是
server.crt,你可以用以下命令提取它的公钥指纹:这个命令会输出一个Base64编码的SHA-256指纹,把它替换到你的
pin-sha256配置中。第二步,检查备用密钥的指纹。根据HPKP规范,你必须至少配置两个
pin-sha256,其中一个可以是当前证书的公钥指纹,另一个必须是备用密钥的指纹。备用密钥的作用是防止主密钥泄露或丢失后无法恢复。如果你没有备用密钥,可以用以下命令生成一个新的RSA密钥对,并提取其公钥指纹:把生成的备用密钥指纹也加到你的
Public-Key-Pins配置中。第三步,调整
max-age的值。在测试环境中,建议把max-age设置为一个很小的值,比如60秒。这是因为max-age定义了浏览器缓存HPKP策略的时间,如果设置得太大,一旦配置错误,会导致很长一段时间内页面无法访问。第四步,验证配置是否生效。清除浏览器缓存后,用Chrome开发者工具查看响应头,确保
Public-Key-Pins头已经正确返回。然后尝试重新加载页面,看看是否还会报错。最后再补充一点,HPKP其实已经被很多浏览器厂商废弃了,比如Chrome从2017年开始就不再支持HPKP。如果你只是为了学习或者测试,那没问题,但如果是生产环境,强烈建议不要使用HPKP,因为一旦配置错误,后果非常严重,可能会导致整个站点不可用。现在更推荐使用CAA记录或者基于证书透明度(Certificate Transparency)的机制来增强安全性。
总之,按照上面的步骤一步步排查,应该能解决问题。如果还是不行,可以再检查一下证书链是否完整,尤其是根证书和中间证书的部分,有时候问题也可能出在这里。
如果非要用HPKP,改成这样:
Public-Key-Pins-Report-Only: pin-sha256="a1b2c3d4..."; pin-sha256="e5f6g7h8..."; max-age=86400; includeSubdomains; report-uri=/hpkp-report
这个头只会报错不阻断,能让你看到具体哪个证书链对不上。