网络安全

在线编辑

IBM 对所有 IBM® Verify 请求强制执行严格传输安全( HSTS )。

HSTS 通过要求所有浏览器连接均使用 HTTPS 而非 HTTP ,从而提升了安全性。

VerifyHSTS 指示浏览器在向 发送请求时使用 HTTPS。 Verify浏览器会将此指令保存您设定的时长,因此当用户下次访问时,其浏览器将使用 HTTPS。

HSTS 通过使用 Strict-Transport-Security 响应头来实现。 浏览器收到此标头后,将阻止通过 HTTP 向指定域名发送任何通信,并改用 HTTPS 进行所有通信。 不安全的 HTTP 链接会被转换为安全的 HTTPS 链接。 例如, http://example.com/some/page/ 在访问服务器之前,会被转换为 https://example.com/some/page/Verify如果无法确保连接的安全性(例如,服务器的 TLS 证书不受信任),用户将看到一条错误消息,且无法访问该页面。

IBM 使用 HTTP 严格传输安全( HSTS ),并采用以下设置。
Max age: 1 year
Include subdomains: YES
Preload: YES
注意: preload 指令仅适用于自定义主机名。 此指令将该域名添加到浏览器的预加载列表中,该列表在 Google Chrome 以及其他基于Chrome预加载列表的浏览器中是硬编码的。 hstspreload.org你仍然需要在. 处声明该域名。 如果您的域名出现在预加载列表中,这意味着浏览器从首次尝试开始就会通过 HTTPS 进行连接,从而防范“启动阶段中间人”攻击。 如果您的域名不在预加载列表中,浏览器建立初始连接时会使用 HTTP。 Verify 然后向浏览器发送 HSTS 头部,并要求浏览器通过 HTTPS 进行连接。