Как установить заголовок HSTS из .htaccess только по HTTPS

Question

Как установить заголовок HSTS из .htaccess только по HTTPS

60

Мое веб-приложение работает на другом количестве хостов, которые я контролирую. Чтобы предотвратить необходимость изменения конфигурации Apache для каждого vhost, я добавляю большую часть конфигурации, используя файлы .htaccess в своем репо, поэтому базовая настройка каждого хоста - это всего лишь несколько строк. Это также позволяет изменить конфигурацию при развертывании новой версии. В настоящее время .htaccess(un) устанавливает заголовки, переписывает магию и контролирует кеширование UA.

Я хочу включить HSTS в приложение, используя .htaccess. Просто настроить заголовок легко:

Header always set Strict-Transport-Security "max-age=31536000"

Однако спецификация четко заявляет: "Хост HSTS НЕ ДОЛЖЕН включать поле заголовка STS в ответы HTTP, переданные по незащищенному транспорту". Поэтому я не хочу отправлять заголовок при отправке по HTTP-соединениям. См. http://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec-14.

Я попытался установить заголовок, используя среду vars, но я застрял там. Кто знает, как это сделать?

nielsr 10 июнь 2014, в 16:52

Источник

0

Stack Overflow - сайт для вопросов программирования и разработки. Этот вопрос, кажется, не по теме, потому что он не о программировании или разработке. Смотрите, какие темы я могу задать здесь, в Справочном центре. Возможно, лучше спросить Super User или Unix & Linux Stack Exchange . Также см. Где я могу разместить вопросы о Dev Ops?
jww 05 нояб. 2016, в 18:13
5

@jww .htaccess файлы являются частью моего репо веб-приложения и поддерживаются разработчиками, чтобы получить желаемое поведение приложения (например, кэширование, переписывание URL-адресов и установка правильных заголовков). Вопрос рассматривается здесь почти 20 тыс. Раз (для тегов [apache], [.htaccess] и [mod-headers]). Так что я не думаю, что это не по теме здесь.
nielsr 17 март 2017, в 13:10
1

«Файлы .htaccess являются частью моего репо веб-приложения и поддерживаются разработчиками ...» - ни один из критериев для включения в переполнение стека. Хороший тест нюхания - вы можете показать свой код? В этом случае ответ НЕТ. После проверки, это просто вопрос конфигурации Apache. «Вопрос рассматривается почти 20 тысяч раз ...» - переполнение стека - это свалка. Здесь задается не по теме вопрос, а затем он индексируется поисковой системой. Другие примеры этого явления включают передачу файлов по SSH . Разработчики также используют SSH.
jww 17 март 2017, в 13:22

Показать ещё 1 комментарий

Теги:

apache

.htaccess

mod-headers

4 ответа

17

Чтобы построить ответ nielsr, я использовал следующее в .htaccess, чтобы выполнить рекомендации по безопасному развертыванию по адресу https://hstspreload.org, которые жестко закодируют домен в браузер Chrome. Имейте в виду, что это приведет к принудительному использованию HSTS во всех ваших поддоменах, и что включение в список предварительной загрузки не может быть легко отменено, поэтому rtfm.

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
</IfModule>

LJT 13 сен. 2016, в 03:45

5

Это немного более безопасно, да - если вы только собираетесь использовать HTTPS во всем вашем домене. Если нет, то это невероятно опасно - и поэтому безответственно предлагать это без предупреждения об этом. Допустим, ваш веб-сервер отвечает этим заголовком на запрос в домене верхнего уровня (example.com) - тогда, когда вы включаете субдомены, любой другой поддомен, обслуживаемый другим веб-сервером только через http, а не https (например, intranet.example.com) , не будет работать. Включение тега предварительной загрузки также позволяет отправить его в список предварительной загрузки, чтобы он был жестко закодирован в веб-браузерах и затем стал необратимым.
Barry Pollard 18 сен. 2016, в 11:55
1

Честный комментарий, ответ обновлен.
LJT 19 сен. 2016, в 07:22
2

Прежде чем добавить аргумент «preload», прочитайте мелкий шрифт.
Dimitris 27 янв. 2017, в 08:51

Показать ещё 1 комментарий

3

Для httpd.conf (если у вас есть доступ для редактирования), вы можете использовать

<VirtualHost 65.81.122.43:443>
    Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains;"
</VirtualHost>

ПРИМЕЧАНИЕ. Вам нужно установить его только на HTTPS-хосте и не может быть на http-хосте.

Когда я должен и не должен использовать файлы .htaccess?

Разрешение файлов .htaccess заставит Apache искать их при каждом доступе к вашему серверу. Поскольку также ищутся родительские каталоги, это займет некоторое (небольшое) количество времени и может повлиять на производительность вашего сервера. Источник

Aniket Thakur 17 март 2017, в 10:19

0

Apache всегда будет искать файлы .htaccess. Поэтому, если вы не отключили поиск .htaccess, это не улучшит производительность, так как Apache все равно проверит файл.
Rudy Broersma 31 янв. 2018, в 12:51

0

Еще одна альтернатива - всегда устанавливать заголовок и условно удалять его для не-ssl-соединений:

Header always set   Strict-Transport-Security "max-age=31536000" early
Header        unset Strict-Transport-Security env=!HTTPS

Это имеет то преимущество, что директива Header может использоваться как с условием env так и с early флагом. С одной директивой Header env и early нельзя использовать вместе, они взаимоисключающие (см. Официальную документацию: https://httpd.apache.org/docs/current/mod/mod_headers.html#header).

studersi 15 янв. 2019, в 15:00

Ещё вопросы

Stack Overflow - сайт для вопросов программирования и разработки. Этот вопрос, кажется, не по теме, потому что он не о программировании или разработке. Смотрите, какие темы я могу задать здесь, в Справочном центре. Возможно, лучше спросить Super User или Unix & Linux Stack Exchange . Также см. Где я могу разместить вопросы о Dev Ops?
@jww .htaccess файлы являются частью моего репо веб-приложения и поддерживаются разработчиками, чтобы получить желаемое поведение приложения (например, кэширование, переписывание URL-адресов и установка правильных заголовков). Вопрос рассматривается здесь почти 20 тыс. Раз (для тегов [apache], [.htaccess] и [mod-headers]). Так что я не думаю, что это не по теме здесь.
«Файлы .htaccess являются частью моего репо веб-приложения и поддерживаются разработчиками ...» - ни один из критериев для включения в переполнение стека. Хороший тест нюхания - вы можете показать свой код? В этом случае ответ НЕТ. После проверки, это просто вопрос конфигурации Apache. «Вопрос рассматривается почти 20 тысяч раз ...» - переполнение стека - это свалка. Здесь задается не по теме вопрос, а затем он индексируется поисковой системой. Другие примеры этого явления включают передачу файлов по SSH . Разработчики также используют SSH.
Это немного более безопасно, да - если вы только собираетесь использовать HTTPS во всем вашем домене. Если нет, то это невероятно опасно - и поэтому безответственно предлагать это без предупреждения об этом. Допустим, ваш веб-сервер отвечает этим заголовком на запрос в домене верхнего уровня (example.com) - тогда, когда вы включаете субдомены, любой другой поддомен, обслуживаемый другим веб-сервером только через http, а не https (например, intranet.example.com) , не будет работать. Включение тега предварительной загрузки также позволяет отправить его в список предварительной загрузки, чтобы он был жестко закодирован в веб-браузерах и затем стал необратимым.
Честный комментарий, ответ обновлен.
Прежде чем добавить аргумент «preload», прочитайте мелкий шрифт.
Apache всегда будет искать файлы .htaccess. Поэтому, если вы не отключили поиск .htaccess, это не улучшит производительность, так как Apache все равно проверит файл.

nielsr · Accepted Answer · 2014-06-10T16-19-00.000Z

89

Лучший ответ

По-видимому, существует доступная переменная среды HTTPS, которую можно легко использовать. Для людей с тем же вопросом:

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS

nielsr 10 июнь 2014, в 16:19

4

я могу подтвердить это работает
Gaia 06 окт. 2014, в 19:41
2

в каком файле сделан этот параметр?
ted.strauss 30 нояб. 2014, в 19:37
7

@ ted.strauss это будет в файле .htaccess .
zen 07 май 2015, в 18:54
0

Я использую http , это работает без https?
Nullpointer 14 июль 2017, в 05:52
0

@Nullpointer - Нет, это только для среды HTTPS
Mateng 30 авг. 2017, в 19:16
0

По какой-то причине это не работает на моем сервере. Apache 2.4
Andy 19 окт. 2017, в 00:48
9

У меня тоже не сработало; однако добавление "expr=%{HTTPS} == 'on'" сработало. В этой строке в Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" "expr=%{HTTPS} == 'on'" . Может быть, это потому, что ключевое слово always ?
Adrian Föder 16 нояб. 2017, в 22:31
2

Обратите внимание, что переменная HTTPS env в условии env=HTTPS отличается от серверной переменной var, которую мы обычно видим в условиях mod_rewrite (и в выражении Apache) как %{HTTPS} . Поскольку это переменная env , она зависит от среды, т.е. Конфигурация сервера. Иногда это никогда не устанавливается. Иногда ему присваивается то же значение, что и для сервера HTTPS var (так что для него всегда установлено значение «off» или «on» - и условие env=HTTPS всегда выполняется! env=HTTPS просто проверяет, установлен ли env var, это не значит, что он включен.) Использование Apache expr, как предлагает @ AdrianFöder, рекомендуется для Apache 2.4+.
MrWhite 26 янв. 2018, в 13:01
0

Заголовки как-то перезаписывались, когда я запускал PHP в режиме CGI вместо Module. Вот почему это не сработало для меня. stackoverflow.com/questions/32147413/...
Andy 16 апр. 2018, в 22:44

Показать ещё 7 комментариев