kn007的个人博客
♥ You are here: Home > 软件与网络 > VPS > 更新至WordPress 4.5.1,申请加入HSTS Preload List

更新至WordPress 4.5.1,申请加入HSTS Preload List

by | 70 Comments

提醒:本文最后更新于 3169 天前,文中所描述的信息可能已发生改变,请仔细核实。

142928nt90umljtulb8nte

WordPress 4.5.1 版本修复了 12 个问题。感觉都还好,详见发行注记

博客域名于2016-04-20全面启用HSTS(HTTP Strict Transport Security),申请加入HSTS Preload List中,现已过了1个星期。据Jerry Qu说,他大概花了三周,才加到这个列表里;然后又等了两个月,才进 Chrome 主版本。

HTTPS一直在用,因为子域很多是HTTP,所以一直没启用HSTS。现在子域也全面HTTPS化了,所以就把HSTS加进来,顺便申请HSTS Preload,它的功能相当于以前需要服务器做301跳转HTTP到HTTPS,现在直接在浏览器内部完成这一步。因为HSTS实际也只是个header,也就是说成功使用HSTS的前提条件有两个,用户必须在之前成功用HTTPS访问过网站,浏览器支持HSTS协议。

两天前,在https-everywhere申请加入规则,已通过,详见传送门

转载请注明转自:kn007的个人博客的《更新至WordPress 4.5.1,申请加入HSTS Preload List

donate
有所帮助?

Comments

70 Comments立即评论
  1. 回复

    看不懂是什么意思,但我看了子域名 www.facebook.com 和 顶级域名 facebook.com 都能通过HSTS.
    这句话是什么意思:由于预装入列表的大小,并在跨子域cookie的行为,我们只接受全域注册的自动预紧名单提交。

    1. MOD回复

      @pcfun: 你把根域redirect到www上。还有不要开新楼层

    2. 回复

      @kn007: 我已使用301定向到www上的,是这样的吗?

    3. MOD回复

      @pcfun: 就是把根域跳转到带www上的,但是现在并不接受这种形式的预加载申请。

  2. 回复

    你看看 https://hstspreload.appspot.com/?domain=www.facebook.com 是符合HSTS的

    1. MOD回复

      @pcfun: 首先,上面的英文的解释是说,www是个子域名,请对主域名进行预加载。因为基于预加载列表的长度,及cookie可跨子域,我们只接受主域名的预加载的申请。

      最后一句话,只接受主域名的预加载申请。
      像facebook和twitter这些都是内置表里的,所以显示是通过的。
      你可以尝试一些非知名域名而做了HSTS优化的,因为并不能被申请,所以子域是加不进这个列表的。你只要知道includeSubDomains可以使浏览器正常工作就行了。

    2. 回复

      @kn007: 谢了,明白。

icon_wink.gificon_neutral.gificon_mad.gificon_twisted.gificon_smile.gificon_eek.gificon_sad.gificon_rolleyes.gificon_razz.gificon_redface.gificon_surprised.gificon_mrgreen.gificon_lol.gificon_idea.gificon_biggrin.gificon_evil.gificon_cry.gificon_cool.gificon_arrow.gificon_confused.gificon_question.gificon_exclaim.gif