Non-Authoritative-Grund-header-Feld [HTTP]

Ich habe Schwierigkeiten, herauszufinden, was es bedeutet, wenn ich die response-header Non-Authoritative-Reason : HSTS

Gesucht hab ich viel, aber nur kam mit einigen Erklärungen über HSTS (Umleitung von HTTP nach HTTPS). Kann mir jemand helfen mit, dass? Übrigens bin ich mit Chrome.

Dank

InformationsquelleAutor jamal | 2015-12-05
  1. 55

    Den server Sie sich verbinden möchten, das mit verwendet strict-transport-security (HSTS), um sicherzustellen, nur https verwendet wird, die mit dieser Seite anstelle der Standard-http.

    Dies bedeutet, dass wenn Sie geben Sie http://www.servername.com dann Chrome wird automatisch konvertieren Sie diese zu https://www.servername.com.

    Dies ist eine Sicherheitsfunktion, um zu verhindern, dass die Verwendung von http ist unverschlüsselt und kann gelesen und verändert von einem hacker. Diese können von den server erzählen, Chrom (über einen speziellen HTTP-Header gesendet, in Antwort auf Anfragen), die es verwendet, HSTS. Diese Einstellung wird dann im Cache Chrome für die bestimmte Zeit, wie in der max-age-Wert in die Kopfzeile. Zusätzlich kann der Websitebesitzer senden Ihrer Website eine preload-Liste, die automatisch in Chrome - die schützt auch den ersten Besuch, als Sie normalerweise benötigen, um die Website zu besuchen, um zu erhalten, die Kopfzeile aktivieren.

    Den Weg Chrome zeigt diese in der Registerkarte Netzwerk wird durch erstellen eines dummy-307-Antwort mit einem redirect auf die https-version der Adresse. Aber das ist ein fake Antwort und wird nicht generiert durch den server - die Realität ist Chrome habe, das intern vor der Anfrage ging sogar in die server.

    Deaktivieren Sie diese Einstellung für eine Website, die Sie können geben Sie den folgenden in Chrome URL-Feld: chrome://net-internals/#hsts aus und suchen Sie dann für Ihre Website und löschen Sie Sie. Sie können auch festlegen, diese an eine top-level-Domänen und Unterdomänen einschließen, so dass Sie möglicherweise löschen müssen, um von dort aus. Alternativ können Sie einfach ändern Sie Ihre server config zu veröffentlichen, die header mit ein max-age von 0 und wieder auf die Website zu deaktivieren, dann Stopp der Veröffentlichung der header, die hilfreich sein können für andere Browser, wo es nicht ganz so einfach zu deaktivieren Sie diese.

    Hinweis: Sie können nicht deaktivieren Sie diese Einstellung, wenn eine Website in der Liste 'vorher laden', da diese eingebettet ist in die web-browser-code. Der Inhaber der Website kann einen Antrag auf Löschung aus der Liste 'vorher laden', aber das dauert mehrere Monate, um durch zu gehen der release-Zyklus für Chrome und keine definierten Zeitleiste für andere Browser. Chrome bietet auch keine Möglichkeit zum überschreiben der vorinstallierten Einstellungen - aus Gründen der Sicherheit.

    • Gibt es eine Möglichkeit zum deaktivieren der Chrome-cache die Seiten lösen diese? Ich bin Debuggen von meinem Apache-reverse-proxy-Konfiguration.
    • Zusätzlichen details auf meine Antwort.
    • Hier ist die Liste 'vorher laden': hstspreload.org
    • Das ist der Chrom-Liste 'vorher laden'. Es gibt weitere Listen für andere Browser.
    • Nun, ich stehe vor dem ähnlichen Problem. Ich habe versucht, deaktivieren Sie die Website hrome://net-internals/#hsts ich konnte nicht finden es. Aber immer noch bekomme ich Antwort-header Non-Authoritative-Grund : HSTS. Gleiche website-URL funktioniert in Firefox, wenn ich versuche, die gleiche Sache in chrome bekomme ich HSTS. Hat jemand eine andere Lösung um dieses Problem zu beheben?
    • Überprüfen Sie den header nicht gesetzt wird auf die top-level-domain. E. g. es könnte festgelegt werden example.com mit includeSubDomain option, aber Sie nur geprüft http://www.example.com.

    InformationsquelleAutor Barry Pollard
  2. 3

    Einige zusätzliche Infos zu BazzaDP Antwort...

    Den Non-Authoritative-Reason : HSTS in der Antwort zurückgegeben wird, ist nicht etwas, das Sie konfiguriert haben, sondern Google Chrome selbst. Da Chrom entführt die Anfrage, Chrome wird auch hinzufügen, das bestimmte header zu erzählen HSTS aktiviert ist. Blick auf die Netzwerk-Registerkarte, werden Sie sehen, die gefälschte 307-Antwort mit dieser header gesetzt.

    All dies geschieht seit Sie enthalten die Strict-Transport-Security - header auf Ihrem server.

    Wenn Sie wollen, um all in zu gehen, hier ist die HSTS preload Liste

    InformationsquelleAutor Jim Aho
  3. 0

    Nach MDN (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security):

    Den Strict-Transport-Security header wird vom browser ignoriert, wenn
    Ihre Website zugegriffen wird, mit HTTP; dies ist, weil ein Angreifer kann
    abfangen von HTTP-verbindungen und einfügen die Kopf-oder entfernen es

    Und die HSTS Preload Liste Bereitstellung von Empfehlungen erwähnen:

    Fügen Sie die Strict-Transport-Security header, um alle HTTPS Antworten

    Den HTML5 Boilerplate zeigt, wie nur gesetzt Strict-Transport-Security über HTTPS (apache):

    # Set 'Strict-Transport-Security' over HTTPS only!
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTPS} !=on
    RewriteCond %{HTTP_HOST} ^www\.(.+)$ [NC]
    RewriteRule ^ %{ENV:PROTO}://%1%{REQUEST_URI} [R=301,L]
</IfModule>
    InformationsquelleAutor Malvoz
Schreibe einen Kommentar