30826
发表于 2019-1-15 01:50:08
chimney 发表于 2019-1-15 01:54
我搜索了一篇文章看了下您说的技术https://www.jianshu.com/p/caa80c7ad45c,不过我存在一点困惑,我这种 ...
不会加载http头的,http的80端口被阻断的话浏览器就彻底无法访问了。hstspreload.org原理是让浏览器内核研发时把你域名加入hsts预加载列表。
就比如你提交了hstspreload之后,无论谁下载了最新的谷歌Chrome,他安装的浏览器内核里都有你这个域名了。然后在浏览器访问你域名时,如果输入的是http或者80端口,那也直接强制跳转到https访问。
当然了国内一些浏览器比如360,内核更新很慢,所以就算你提交也可能得等很长时间才能让360浏览器的用户强制https访问。还有一些垃圾浏览器比如UC,在用人家内核的时候直接把hstspreload列表删掉,这个方法就没法覆盖这个浏览器的用户群了。
chimney
发表于 2019-1-15 01:43:00
By小酷 发表于 2019-1-15 02:05
https://hstspreload.org
申请一下这个
等于提交这个后,以后用户用chrome(或者包括用chrome内核的各种浏览器?)就会自动http转到https了吗?
不过存在一个问题,像18楼的老兄说的,审查者会发现的话,之前只阻断80的方式不能“组织大部分的访客了”。
会不会加速我的https被干掉的进程……
chimney
发表于 2019-1-15 01:52:30
30826 发表于 2019-1-15 02:07
不会加载http头的,http的80端口被阻断的话浏览器就彻底无法访问了。hstspreload.org原理是让浏览器内核 ...
嗯,我简单阅读了下小酷兄提供的那个网址,大概猜就是您说的内置的情况。
不过如果这个域名库很大的话,等于要给chrome内核编码增加不少字节啊……
chimney
发表于 2019-1-15 01:43:00
By小酷 发表于 2019-1-15 02:05
https://hstspreload.org
申请一下这个
再多问一句,这个网址只提交根域就可以了吗?如果有二级域名也要提交吗
30826
发表于 2019-1-15 01:54:50
chimney 发表于 2019-1-15 02:08
等于提交这个后,以后用户用chrome(或者包括用chrome内核的各种浏览器?)就会自动http转到https了吗?
...
除了chrome还有firefox、Edge、IE都遵循hsts规范,同步这个预加载列表。不遵循这个规则的只有一些国产垃圾浏览器,目的就是配合当局屏蔽。
普通网站审查是按列表走的,一般是流量大的就会加入待审查清单。审查过的如果没有上级通报,一般不会再去翻一遍,所以基本上来讲你现在的封锁状态已经是最高的了,以后顶多顺带把你IP墙了,你再换个IP就行。
能上DNS污染级别的那都是谷歌一类的重点关注网站,就连SIS那种老牌大黄站也不过是域名80封锁+IP封锁。如果你网站都到DNS污染级别了,那警察也该上门找人了……
chimney
发表于 2019-1-15 01:43:00
30826 发表于 2019-1-15 01:43
只要胆子大他可以随时把域名转回国内北岸或者做跳转,国内服务器墙和DNS污染是不生效的。
不过现在只是最 ...
您在十楼说的“可以试试hsts,如果效果不好,流量大幅下降”这个流量下降,是考虑有很多人的浏览器不支持https而产生的吗?
30826
发表于 2019-1-15 01:56:24
chimney 发表于 2019-1-15 02:14
再多问一句,这个网址只提交根域就可以了吗?如果有二级域名也要提交吗 ...
提交根域就可以了,然后所有子域名都强制hsts,必须用https访问了。
设置hsts必须遵循他里面的配置要求,除了SSL证书常挂以外,还要给所有访问添加hsts头。
图省事或者不会弄的话,套个CF,DNS设置里有hsts,时长设置最大12个月,其余全开启,就能提交了。
编码没增加多少字节(目前来看也就8MB左右),他这个列表还要定期审查你网站是否正常,hsts头是否存在,如果没有也会从列表里删掉。
chimneychimney
发表于 2019-1-15 01:50:00
30826 发表于 2019-1-15 02:14
除了chrome还有firefox、Edge、IE都遵循hsts规范,同步这个预加载列表。不遵循这个规则的只有一些国产垃 ...
明白,那我目前就维持https以及提交下您说的hsts。
不过说实在的,我还是想找出具体出问题的内容,然后把它删掉……
30826 发表于 2019-1-15 02:17
提交根域就可以了,然后所有子域名都强制hsts,必须用https访问了。
设置hsts必须遵循他里面的配置要求, ...
CF的DNS,不开启加速,也是可以的吧。
如果不用CF的方式,hsts头是增加在nginx的域名conf配置文件吗
30826
发表于 2019-1-15 01:57:56
chimney 发表于 2019-1-15 02:16
您在十楼说的“可以试试hsts,如果效果不好,流量大幅下降”这个流量下降,是考虑有很多人的浏览器不支持 ...
不是,我说的效果不好是指:开启hsts后仍然无法达到你域名没被墙时的访问效果,就是很多人浏览器(比如UC)不支持hsts的,他们依然无法访问你的网站,这时你为了照顾这些用户就可以考虑是否换域名了。
现在你已经被墙了,开启hsts情况不会更糟,只能说相对现在改善效果不一定明显,毕竟国内低端用户较多,UC浏览器一类还是很盛行。
30826
发表于 2019-1-15 01:52:00
chimney 发表于 2019-1-15 02:19
CF的DNS,不开启加速,也是可以的吧。
如果不用CF的方式,hsts头是增加在nginx的域名conf配置文件吗 ...
不可以,想用CF添加HSTS的话必须开启他的加速,用它的中转服务器给你增加HSTS头。
不用CF的话用NGINX也可配置hsts头,但相对麻烦点,我也没试过,你可以看看网上教程。
前提当然都是你必须有https证书,而且自动续期,别回头因为SSL证书掉了你网站也没法上。