我正在使用Semrush,我有這樣一個通知,它真的困擾著我,想要擺脫。1個子域不支持HSTS的子域。www.domain.com ,這里是我的.htdocs檔案:
Options -Indexes
<IfModule mod_rewrite.c>
選項 FollowSymLinks
重寫引擎開啟
RewriteCond %{REQUEST_FILENAME}! !-f
RewriteCond %{REQUEST_FILENAME}! !-d
RewriteRule ^(.*)$ index.php/$1 [L]
RewriteCond %{HTTPS}! !=on
RewriteCond %{HTTP_USER_AGENT}! ^(. )$
RewriteCond %{SERVER_NAME}! ^example.com$
RewriteRule .* https://www.%{SERVER_NAME}%{REQUEST_URI} [R=301,L]/span>
頭部添加Strict-Transport-Security "max-age=300"。
</IfModule>
<IfModule mod_headers.c>
<If "%{REQUEST_SCHEME} == 'https' || %{HTTP:X-Forwarded-Proto} == 'https'"/span>>
頭部總是設定Strict-Transport-Security "max-age=31536000"。
</If>
</IfModule>
我在最后添加這部分內容:
<IfModule mod_headers.c>
<If "%{REQUEST_SCHEME} == 'https' || %{HTTP:X-Forwarded-Proto} == 'https'"/span>>。
頭部總是設定Strict-Transport-Security "max-age=31536000"。
</If>
</IfModule>
但是仍然沒有結果,我做錯了什么呢?
uj5u.com熱心網友回復:
你有沒有試著通過DNS記錄和.vconfig檔案來解決這個問題?對于我的網站,我有:
A domain.com 123.123.123)A www 123.123.123)然后在domain.com.vhost中:
<VirtualHost *:80>
DocumentRoot /var/www/path_to_root
服務器名稱 domain.com
服務器別名domain.com
重寫引擎開啟
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,NE]/span>
</VirtualHost>
該重寫規則強制執行HTTPS。
如果你想在.vhost或.htaccess中對特定的域強制使用HTTPS,你可以使用:
RewriteEngine On
RewriteCond %{HTTP_HOST} ^yourdomain1.com [NC] 。
重寫后的%{HTTPS}關閉
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]/span>
而對于具體的檔案夾:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(folder1|folder2|folder3) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]/span>
確保將檔案夾參考改為實際的目錄名稱。
uj5u.com熱心網友回復:
如果你能夠通過Cloudflare路由你的DNS(甚至在他們的免費計劃中),你將能夠在點擊一個按鈕后啟用HSTS(包括子域)。在速度和安全方面也有很多其他好處,這也可能有助于你的SEMRush報告
。uj5u.com熱心網友回復:
Options -Indexes
<IfModule mod_rewrite.c>
選項 FollowSymLinks
重寫引擎開啟
RewriteCond %{REQUEST_FILENAME}! !-f
RewriteCond %{REQUEST_FILENAME}! !-d
RewriteRule ^(.*)$ index.php/$1 [L]
RewriteCond %{HTTPS}! !=on
RewriteCond %{HTTP_USER_AGENT}! ^(. )$
RewriteCond %{SERVER_NAME}! ^example.com$
RewriteRule .* https://www.%{SERVER_NAME}%{REQUEST_URI} [R=301,L]/span>
頭部添加Strict-Transport-Security "max-age=300"。
</IfModule>
<IfModule mod_headers.c>
<If "%{REQUEST_SCHEME} == 'https' || %{HTTP:X-Forwarded-Proto} == 'https'"/span>>
頭部總是設定Strict-Transport-Security "max-age=31536000"。
</If>
</IfModule>
這里有一些問題會妨礙HSTS的正常作業,還有一些應該進行的額外優化。
您沒有將http://www.example.com(即www子域)重定向到HTTPS。你需要將HTTP WWW重定向到HTTPS WWW,以便符合HSTS。
你正在重定向http://example.com/(即HTTP 非www)到HTTPS WWW。為了符合HSTS,你需要先重定向到同一主機上的HTTPS。即http://example.com/到https://example.com/到https://www.example.com(是的,這是兩次重定向,但這也是罕見的,每個用戶代理最多只能出現一次,因為要回傳STS頭)。
你的指令的順序是錯誤的。你的規范重定向(即HTTP到HTTPS和非www到www)需要在你的前控制器重寫(第一條規則)之前。把它們放在前臺控制器之后,除了主頁、目錄和靜態資源之外,它們永遠不會被處理。例如,http://example.com/<site-url>將永遠不會被規則所重定向。不確定你是如何用SEMrush測驗HSTS的合規性的,但是如果按照所寫的指令,那么http://example.com/<site-url>將會失敗,因為它沒有被重定向。
你應該洗掉第一個Header指令 - 這與第二個(正確的)Header指令有直接沖突。always條件(如在第二個例子中使用)是必要的,以便在
HTTPS 301重定向(即非2xx回應)從非www到www.
你應該在Strict-Transport-Security頭中包含includeSubDomains指令,以便在請求域頂點時覆寫www子域。雖然,所有子域現在將被隱含地包括在內。如果沒有這個,www子域將需要明確地被請求。(好吧,反正你在下一個請求中會重定向到www。)
你不需要<IfModule>包裝器。這些指令是強制性的,它們不是optional(這些包裝器的存在暗示了這一點)。 如果mod_rewrite不可用,你的網站可能會失敗,你將不符合HSTS標準。
我從前面的HTTP 非www重定向中假設你不在管理SSL的前端代理(或負載平衡器)后面,在這種情況下,后面的<If>表達中對%{HTTP:X-Forwarded-Proto}的檢查應該被洗掉。如果你不在 "代理 "后面,那么就有可能偽造一個請求,以防止STS頭被送回來(用戶不應該能夠這樣做)。
相反,如果你在一個 "代理 "后面,那么對%{REQUEST_SCHEME} == 'https'的檢查是多余的 - 但不會造成任何傷害。順便說一下,使用REQUEST_SCHEME假設你是在Apache 2.4以上(我希望你是),然而,如果你仍然在Apache 2.2上,那么這個檢查將失敗,STS頭將不會被設定。
因此,考慮到以上幾點,你的.htaccess檔案應該這樣寫:
Options FollowSymLinks -Indexes
重寫引擎開啟
# Redirect HTTP to HTTPS on the same host (requirement of HSTS)
RewriteCond %{HTTPS}! !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]/span>
# 重定向非www到www(僅HTTPS)
RewriteCond %{HTTP_HOST}. ^example.com$ [NC]
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L]/span>
# Frontcontroller
RewriteRule ^index.php/ - [L]
RewriteCond %{REQUEST_FILENAME}! !-f
RewriteCond %{REQUEST_FILENAME}! !-d
RewriteRule (.*) index.php/$1 [L]
<If "%{REQUEST_SCHEME} == 'https'>
# "always"條件是需要在HTTPS重定向時設定頭的。
頭部總是設定Strict-Transport-Security "max-age=31536000; includeSubDomains"
</If>
附加說明:
我使用了HTTP_HOST而不是SERVER_NAME,因為你需要請求中的主機名。默認情況下,SERVER_NAME與HTTP_HOST相同,但這可以根據服務器配置而變化。
沒有理由只在請求中出現非空的User-Agent字串時才應用規范重定向(惡意請求可能會抑制User-Agent字串),就像你原來所做的那樣,所以我已經洗掉了這個條件。如果有的話,你會阻止這樣的請求。
在 RewriteRule pattern 中的重碼 ^ 比 .* 更加理想,因為它只需要成功 - 它不需要實際 match 任何東西,因為它以后不會被使用。
在 "front-controller "之前的額外的RewriteRule ^index.php/ - [L]指令只是一個優化,以防止重寫的URL不必要地通過后面的檔案系統檢查。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/328149.html
標籤:
IEEE1588ptp在數字化變電站時鐘同步方面的應用 京準電子科技官微——ahjzsz 一、電力系統時間同步基本概況 隨著對IEC 61850標準研究的不斷深入,國內外學者提出基于IEC61850通信標準體系建設數字化變電站的發展思路。數字化變電站與常規變電站的顯著區別在于程序層傳統的電流/電壓互 ......
uj5u.com 2020-09-10 03:51:52 more