设置了HSTS头但浏览器还是提示不安全,哪里出问题了?
我给项目加了Strict-Transport-Security头,代码是这样写的:
app.use((req, res, next) => {
res.setHeader('Strict-Transport-Security', 'max-age=31536000; includeSubDomains');
next();
});
但访问页面时浏览器地址栏还是显示不安全的警告。用开发者工具看响应头确实有这个字段,甚至用curl检查也显示存在:
curl输出显示:
$ curl -I https://example.com
HTTP/2 200
server: nginx
strict-transport-security: max-age=31536000; includeSubDomains
...
已经试过清除浏览器缓存、换不同设备测试,问题依旧。明明配置正确为什么还是不行?难道是子域名配置有问题?或者需要预加载列表?
- 2
回答
32浏览
Double Submit Cookie设置后服务端无法验证,哪里出问题了?
我在用Double Submit Cookie防护CSRF时遇到问题,设置了cookie和请求头,但服务端一直提示验证失败。前端代码是这样的: document.cookie = `csrftoken...
- 2
回答
48浏览
Expect-CT头配置后为什么还是出现证书错误提示?
我在Vue项目里设置了Expect-CT头,但访问页面时还是弹出证书错误警告,搞不懂哪里出问题了。配置代码是这样写的: <nuxt> </nuxt> // 在nuxt.conf...
- 2
回答
38浏览
设置Cross-Origin-Resource-Policy后图片还是被阻止,哪里配置错了?
在React项目里用第三方图片地址,明明设置了CORS策略,但浏览器还是报跨域错误。我加了"Cross-Origin-Resource-Policy: cross-origin"头,但控制台还是提示:...
- 1
回答
14浏览
设置了X-XSS-Protection头还是被Chrome提示XSS防护已禁用?
最近在配置安全头的时候发现了个怪事,明明在Express里设置了X-XSS-Protection: 1; mode=block,但Chrome控制台还是弹出“XSS 防护已禁用”的警告,这是怎么回事啊...
- 2
回答
35浏览
为什么我的CSP头配置总是报错?路径和语法都没问题
我在给项目加CSP头的时候遇到奇怪的问题,明明按照文档写了meta标签,但浏览器还是提示违反CSP策略。检查过路径和语法都没问题,这是为什么啊? 代码是这样写的,设置了script-src只允许sel...
- 1
回答
50浏览
为什么设置了CSP后图片和字体资源还是被阻止了?
我在开发博客项目时配置了CSP头,但图片和字体资源还是被浏览器拦截了。我明明设置了和,控制台报错显示: Refused to load the image 'https://images.exampl...
- 2
回答
22浏览
设置Referrer-Policy后为什么请求头还是带Referer?
在Vue项目里设置了标签,但用axios发请求时发现Referer头还是包含了完整URL,是不是哪里设置错了? 代码是这样写的: <meta name="referrer" content="n...
- 2
回答
31浏览
React调用第三方API报CORS错误,明明设置了headers还是不行?
在React项目里用fetch调用天气API时遇到跨域问题,明明按照网上的方法设置了headers里的'Content-Type',但控制台还是报: fetch('https://api.w...
- 1
回答
14浏览
为什么设置了timeout的JQuery Ajax请求还是没超时?
我在用JQuery的$.ajax发请求时设置了timeout: 2000,但实际测试发现请求超过3秒后还是继续执行了,甚至没有触发error回调。之前试过把timeout改成1000都试过,但问题依旧...
- 1
回答
55浏览
iPhone X底部安全区域适配为什么设置了padding还是被遮挡?
在做Vue项目时,底部导航栏在iPhone X上总被Home Indicator遮挡,虽然设置了padding-bottom: constant(...),但实际显示还是顶到屏幕边缘。 我按教程写了一...
注意几点:第一,确保你的SSL证书是受信任的CA签发的,自签名证书浏览器不会认;第二,检查是否所有资源都通过HTTPS加载,包括图片、脚本、样式表等,混合内容会导致不安全警告。
另外,你提到子域名问题,如果主域名和子域名共用HSTS,必须保证它们的SSL证书都正确配置。至于预加载列表,那是锦上添花的东西,先解决证书问题再说。
建议用以下命令检查证书链是否完整:
最后吐槽一句,处理HTTPS问题真是够折腾的,特别是证书链不完整的时候,排查起来特别费劲。
另外需要说明的是,HSTS对首次访问不起作用,因为浏览器还没收到这个头信息。所以即使配置正确,第一次访问还是可能提示不安全。解决方法是把域名加入HSTS预加载列表,但这个生效时间可能会比较长。
还有个容易忽略的问题是端口,有些浏览器对非标准HTTPS端口不会应用HSTS策略。确保你用的是443端口。
最后提醒一下,你的代码里写了includeSubDomains,这要求所有子域名都必须使用HTTPS,否则会影响HSTS效果。如果子域名没配好HTTPS,也会导致这个问题。
建议你先检查证书和端口配置,应该能找到问题所在。