如何修复“HSTS从HTTPS服务器失踪”的错误

错误类型： 服务器错误 错误名称： 缺少HSTS 英文名称： HSTS Missing From HTTPS Server 错误描述： 有时，IT安全扫描可能会报告您的站点“缺少HSTS”或“HTTP严格传输安全”标头。如果您遇到此错误，则说明您的网站未使用HSTS，这意味着您的HTTPS重定向可能会使您的访问者面临风险。

HTTPS比HTTP安全得多。但是，如果你遇到消息“HSTS从HTTPS服务器失踪”，那么这个协议可能会把你的网站置于危险之中。

好在这个严重的安全漏洞是可以堵住的。即使您没有遇到此错误消息，任何从HTTP重定向到HTTPS的站点都容易受到此漏洞的攻击。因此，采取积极主动的方法并修复这一缺陷仍然是明智的。

在这篇文章中，我们将探讨什么是“HSTS从HTTP服务器丢失”错误，以及为什么它是一个如此严重的问题，任何网站使用HTTPS重定向。然后，我们将向您展示如何通过五个简单的步骤来解决这个问题并阻止黑客。

“HTTP服务器中缺少HSTS”错误介绍

如何修复“HSTS从HTTP服务器丢失”错误

“HTTP服务器中缺少HSTS”错误介绍

为了帮助确保访问者的安全，网站执行HTTPS重定向并不罕见。该重定向将访问者从HTTP转发到网站的HTTPS版本。

用户可以在浏览器的地址栏中显式输入HTTP，或者单击指向网站HTTP版本的链接。在这些情况下，重定向可以防止恶意第三方窃取访问者的数据。

然而，任何技术都不是完美的。如果您的站点确实使用HTTPS重定向，那么您可能容易受到被称为安全套接字层(SSL)剥离的中间人(MITM)攻击。作为这种攻击的一部分，黑客将阻止重定向请求，并阻止浏览器通过HTTPS协议加载您的网站。这样一来，访问者就会通过HTTP访问你的网站，黑客就更容易窃取数据。

或者，攻击者可能会拦截重定向，并将访问者转发到您网站的克隆版本。此时，黑客可以窃取用户共享的任何数据，包括密码和支付信息。一些黑客也可能试图诱骗访问者下载恶意软件。

黑客也有可能通过不安全的连接窃取会话cookies。这种攻击被称为cookie劫持。这些cookie可能包含大量信息，包括用户名、密码，甚至信用卡详细信息。

为了保护您的访问者免受这些攻击，我们建议启用HTTP严格传输安全(HSTS)。该协议迫使浏览器忽略任何直接请求，并通过HTTPS加载您的网站。

HSTS协议(以及您可能想要使用它的原因)

HSTS是一个服务器指令和网络安全策略。如因特网工程任务组(IETF)在RFC 6797中所规定的，HSTS为用户代理和网络浏览器如何处理通过HTTPS运行的站点的连接制定了规则。

有时，IT安全扫描可能会报告您的网站是“丢失HSTS”或“HTTP严格传输安全”的标题。如果你遇到这个错误，你的网站没有使用HSTS，这意味着你的HTTPS重定向可能会给你的访问者带来风险。

这被归类为中等风险漏洞。但是，它非常常见，对于攻击者来说也很容易。如果遇到这个错误，解决它是必不可少的。

通过将HSTS安全头添加到您的服务器，您可以强制您的站点加载HTTPS协议。这有助于保护您的网站免受cookie劫持和协议攻击。由于您可以从加载过程中删除重定向，您的网站也可以加载得更快。

你可能没有遇到这个错误，但你仍然担心HSTS。如果您不确定是否启用了HSTS，您可以使用安全标题等工具扫描您的站点。只需输入您网站的网址，然后点击扫描。

用安全标题扫描你的站点。

安全标题将检查您的网站，并在标题部分显示所有应用的标题。如果严格传输安全出现，您的网站是受保护的。但是，如果这个标题没有列出，那么我们还有一些工作要做。

如何修复“HSTS从HTTP服务器丢失”错误

对于黑客来说，HSTS漏洞是窃取数据或诱骗访问者执行危险操作的绝佳机会。以下是启用HSTS策略并确保网站安全的方法。

步骤1:创建手动备份

启用HSTS策略意味着您的网站发生了重大变化。因此，我们建议在继续之前创建按需备份。如果您在启用HSTS时遇到任何问题，这允许您选择恢复您的站点。

在Pagoda面板中，你可以设置WordPress备份计划。但是，在进行任何重大更改之前创建手动备份仍然是明智的。要创建这个安全网，请登录您的pagoda仪表盘。然后，点击左侧的“网站”菜单，找到需要备份的网站对应的备份操作，然后在弹出的窗口中点击“备份站点”。

在宝塔面板中执行网站归档操作。

接下来，备份网站数据库，并选择数据库菜单项。找到需要备份的站点对应的数据库，点击备份栏对应的操作项，然后在弹出的窗口中点击备份数据库按钮。

备份网站数据库

这样，你就完成了网站文件和数据库的备份操作。

步骤2:将HTTP设置为HTTPS重定向

在启用HSTS策略之前，您需要将SSL证书部署到您的网站。在宝塔面板中，可以直接申请部署证书。除非您特别需要自定义证书，否则您不必担心手动配置SSL。

点击宝塔面板左侧的“网站”菜单项，然后找到需要配置SSL的网站，点击“设置”，在弹出的左侧点击“SSL”，然后根据需要申请和部署SSL。Pagoda SSL和Let’s Encrypt的证书都是免费的，而前者需要实名认证。

然后，您必须打开右上角的强制HTTPS，将HTTP重定向到HTTPS。

请注意，如果您使用任何第三方代理或设置任何自定义HTTPS规则，那么强制HTTPS可能会导致错误或其他奇怪的行为。

如果您的Web服务器运行Nginx，那么您可以将所有HTTP流量重定向到HTTPS。只需将以下代码添加到Nginx配置文件中:

server {listen 80;server_name domain.com www.domain.com;return 301 https://domain.com$request_uri;}

步骤3:添加HSTS页眉

您可以对HSTS标头应用各种类型的指令和安全级别。但是，我们建议添加max-age指令，因为它定义了Web服务器应该通过HTTPS提供的时间(以秒为单位)。这可以防止访问只能通过HTTP提供的页面或子域。

如果您使用Apache服务器，您需要打开您的虚拟主机文件。然后，您可以添加以下内容:

Header always set Strict-Transport-Security max-age=31536000

如果您使用的是ng服务器，那么您可以将以下内容添加到Nginx配置文件中:

add_header Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

像往常一样，我们可以为你做所有艰苦的工作。只需打开支持票，要求我们将HSTS标题添加到您的网站。我们的团队很乐意对您的Nginx文件进行这一更改。

第四步:提交你的网站到HSTS预加载列表

HSTS政策有一个重大缺陷。浏览器必须至少遇到一次HSTS标题，才能用于以后的访问。这意味着您的受众至少需要完成一次HTTP到HTTPS的重定向过程。在此期间，它们将容易受到基于协议的攻击。

为了弥补这一安全漏洞，谷歌创建了HSTS预加载列表。这列出了所有支持HSTS的网站，然后硬编码到Chrome中。通过将您的网站添加到这个列表中，访问者将不再需要完成最初的HTTPS重定向。

大多数主流互联网浏览器都有自己的HSTS预加载列表，这些列表是基于Chrome的列表。要符合此列表的条件，您的网站必须满足提交标准。好消息是，我们已经涵盖了所有这些要求，所以你可以继续提交您的网站到HSTS预加载列表。

一旦你进入这个列表，一些搜索引擎优化(SEO)工具可能会警告你307重定向。当有人试图通过不安全的HTTP协议访问您的站点时，就会发生这些重定向。这将触发307重定向，而不是永久301重定向。如果您对此感到担心，可以使用httpstatus扫描您的站点，并验证是否发生了301重定向。

第五步。验证您的严格传输安全标头

添加HSTS标头后，最好测试它是否正常工作。您可以使用浏览器的内置Web工具来执行这项检查。

根据您选择的Web浏览器，这些步骤会有所不同。为此，请检查Google Chrome DevTools并导航到您想要测试的网页。然后，您可以单击任何空白色区域，然后选择Check。

闪电主页

在随后的面板中，选择网络选项卡。然后，您可以检查Headers部分，它应该包含以下内容:

strict-transport-security: max-age=31536000

或者，您可以使用安全标题工具来扫描您的站点。像以前一样，只需输入您的网站的网址，然后单击扫描。这将返回一个安全报告，其中应该包含一个严格传输安全标签。如果此标志存在，那么您的HSTS报头现在设置正确，并且您已经成功关闭了HTTPS重定向漏洞。

总结

从HTTP重定向到HTTPS是一种安全最佳实践。然而，任何技术都不是完美的，这种重定向可能会使您的网站更容易受到SSL攻击。

记住这一点，让我们回顾一下如何修复“HSTS从HTTPS服务器丢失”的错误:

创建网站的手动备份。

将HTTP设置为HTTPS重定向。

添加HSTS标题。

提交你的网站到HSTS预加载列表。

请验证您的严格传输安全标头。