libcurl 是否支持严格传输安全 (HSTS)?
Is Strict Transport Security (HSTS) supported by libcurl?
AFAIK HSTS 是一个服务器端 属性,它告诉浏览器它应该只与此服务器一起使用 https 请求(如果我错了请纠正我)。
HSTS 在从 http 重定向到 https 的情况下无济于事,在重定向的时间范围内可能会发生 MIM 攻击,除非您的站点在浏览器 HSTS 列表中列出。
如果我的服务器只接收来自 libcurl 的请求,我需要支持 HSTS 吗?
会有什么意义吗? libcurl 是否也支持 HSTS,并且在从服务器接收到此参数后将仅适用于 https 站点?
AFAIK HSTS is a server side property that tells the browser that is should only work with https request with this server (correct me please if I'm wrong).
没错。
HSTS will not help in cases of redirecting from http to https, in this time frame of redirection MIM attack can happen, unless you site listed on the browser HSTS list.
如果用户代理不理解 HSTS,那么它根本没有帮助。此外,HSTS 是一项 "trust on first use" 功能。这意味着如果用户代理没有域的 HSTS 记录并且依赖于重定向到 HTTPS,则用户代理别无选择,只能信任它。 HSTS 预加载旨在解决该问题,其中域始终固定为 HSTS 的 "yes"。
If I have a server that only get requests from libcurl do I need to support HSTS? Will it have any meaning? Does libcurl also supports HSTS and will works only with https sites after receiving this param from the server?
单独使用 libcurl 和 HSTS 没有直接的好处。 libcurl 不保留已知 HSTS 主机的记录。使用 libcurl 的开发人员可以在 libcurl 之上开发 HSTS,但如今 libcurl 本身并不能做到这一点。
AFAIK HSTS 是一个服务器端 属性,它告诉浏览器它应该只与此服务器一起使用 https 请求(如果我错了请纠正我)。
HSTS 在从 http 重定向到 https 的情况下无济于事,在重定向的时间范围内可能会发生 MIM 攻击,除非您的站点在浏览器 HSTS 列表中列出。
如果我的服务器只接收来自 libcurl 的请求,我需要支持 HSTS 吗? 会有什么意义吗? libcurl 是否也支持 HSTS,并且在从服务器接收到此参数后将仅适用于 https 站点?
AFAIK HSTS is a server side property that tells the browser that is should only work with https request with this server (correct me please if I'm wrong).
没错。
HSTS will not help in cases of redirecting from http to https, in this time frame of redirection MIM attack can happen, unless you site listed on the browser HSTS list.
如果用户代理不理解 HSTS,那么它根本没有帮助。此外,HSTS 是一项 "trust on first use" 功能。这意味着如果用户代理没有域的 HSTS 记录并且依赖于重定向到 HTTPS,则用户代理别无选择,只能信任它。 HSTS 预加载旨在解决该问题,其中域始终固定为 HSTS 的 "yes"。
If I have a server that only get requests from libcurl do I need to support HSTS? Will it have any meaning? Does libcurl also supports HSTS and will works only with https sites after receiving this param from the server?
单独使用 libcurl 和 HSTS 没有直接的好处。 libcurl 不保留已知 HSTS 主机的记录。使用 libcurl 的开发人员可以在 libcurl 之上开发 HSTS,但如今 libcurl 本身并不能做到这一点。