केवल एचटीटीपीएस पर .htaccess से HSTS हेडर कैसे सेट करें [बंद]

Question 1

बन्द है। यह प्रश्न स्टैक ओवरफ्लो दिशानिर्देशों को पूरा नहीं करता है । यह वर्तमान में उत्तर स्वीकार नहीं कर रहा है।

इस प्रश्न को सुधारना चाहते हैं? सवाल को अपडेट करें ताकि यह स्टैक ओवरफ्लो के लिए विषय पर हो ।

8 महीने पहले बंद हुआ ।

मेरा वेब एप्लिकेशन कई अलग-अलग मेजबानों पर चलता है जिन्हें मैं नियंत्रित करता हूं। प्रत्येक vhost के अपाचे कॉन्फिगर को बदलने की आवश्यकता को रोकने के लिए, मैं अपने रेपो में .htaccess फ़ाइलों का उपयोग करते हुए अधिकतर कॉन्फिडेंस को जोड़ता हूं ताकि प्रत्येक होस्ट का मूल सेटअप सिर्फ एक-दो लाइनों का हो। यह नए संस्करण को लागू करने पर कॉन्फ़िगरेशन को बदलना भी संभव बनाता है। वर्तमान में .htaccess (संयुक्त राष्ट्र) हेडर सेट करता है, कुछ जादू को फिर से लिखता है और यूए के कैशिंग को नियंत्रित करता है।

मैं .htaccess का उपयोग करके एप्लिकेशन में HSTS को सक्षम करना चाहता हूं। हेडर सेट करना आसान है:

Header always set Strict-Transport-Security "max-age=31536000"

लेकिन कल्पना स्पष्ट रूप से बताती है: "एक एचएसटीएस होस्ट को एसटीएस हेडर फ़ील्ड को HTTP प्रतिक्रियाओं में शामिल नहीं किया गया है जो सुरक्षित परिवहन से अवगत कराया गया है।" इसलिए मैं इसे HTTP कनेक्शन पर भेजते समय हेडर नहीं भेजना चाहता। Http://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec-14 देखें ।

मैंने पर्यावरण वर्जन का उपयोग करके हेडर सेट करने की कोशिश की, लेकिन मैं वहां फंस गया। किसी को भी पता है कि कैसे करना है?

Question 2

जाहिरा तौर पर एक HTTPS पर्यावरण चर उपलब्ध है जिसे आसानी से उपयोग किया जा सकता है। समान प्रश्न वाले लोगों के लिए:

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS

Question 3

नील्स्र के उत्तर पर निर्माण करने के लिए, मैंने https://hstspreload.org पर सुरक्षित परिनियोजन अनुशंसाओं को पूरा करने के लिए .htaccess में निम्नलिखित का उपयोग किया, जो कि डोमेन को क्रोम ब्राउज़र में हार्डकोड करेगा। ध्यान रखें कि यह आपके उप-डोमेन में HSTS लागू करेगा, और प्रीलोड सूची में शामिल किए जाने को आसानी से पूर्ववत नहीं किया जा सकता है, इसलिए rtfm।

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
</IfModule>

Question 4

Https://hstspreload.org का अनुपालन करने के लिए आप इसका उपयोग कर सकते हैं और इसे अपनी htaccess फ़ाइल पर रख सकते हैं । इसे अपने .htaccess फ़ाइल में डालें।

RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}/$1 [R=301,L,E=HTTPS:1]
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS

सबसे पहले, यह गैर- https से https के लिए पुनर्निर्देशन करेगा। और HSTS हेडर के साथ www https से www https पर पुनर्निर्देशित करें।

( http://example.com -> https://example.com -> https://www.example.com - HSTS हेडर के साथ)

Https://hstspreload.org का परीक्षण और अनुपालन करें

Question 5

के लिए httpd.conf(यदि आपके पास इसे संपादित करने की पहुंच है) तो आप उपयोग कर सकते हैं

<VirtualHost 65.81.122.43:443>
    Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains;"
</VirtualHost>

नोट: आपको इसे केवल HTTPS vhost पर सेट करना होगा और http vhost पर नहीं हो सकता।

मुझे कब, और क्या मुझे .htaccess फ़ाइलों का उपयोग नहीं करना चाहिए?

.Htaccess फ़ाइलों को अनुमति देने से आपके सर्वर पर हर एक्सेस पर अपाचे लुक आएगा। चूंकि माता-पिता निर्देशिकाओं को भी खोजा जाता है, इसलिए इसमें कुछ (छोटी) समय लगेगा, और आपके सर्वर के प्रदर्शन को प्रभावित कर सकता है। स्रोत

Question 6

फिर भी एक अन्य विकल्प हैडर को हमेशा सेट करना और गैर-एसएसएल कनेक्शन के लिए सशर्त रूप से उसे हटाना:

Header always set   Strict-Transport-Security "max-age=31536000" early
Header        unset Strict-Transport-Security env=!HTTPS

इससे यह फायदा होता है, कि Headerनिर्देश का इस्तेमाल envशर्त के साथ-साथ earlyझंडे के साथ भी किया जा सकता है । एक ही Headerनिर्देश के साथ, envऔर earlyएक साथ उपयोग नहीं किया जा सकता है, वे पारस्परिक रूप से अनन्य हैं (आधिकारिक दस्तावेज देखें: https://httpd.apache.org/docs/current/mod/mod_headers.html#header )।