HTTP/2探索第二篇——工具及应用

时间  2019-11-07
标签 http 探索 第二 工具 应用 栏目 HTTP/TCP 繁體版
原文   原文链接

版权声明:本文由张浩然原创文章,转载请注明出处: 
文章原文连接:https://www.qcloud.com/community/article/88css

来源:腾云阁 https://www.qcloud.com/communityhtml

 

因为不一样环境过于复杂,本文仅基于Mac OS和Linux来说解工具及应用。python

一.HTTP/2环境搭建所需软件概览

本文须要安装的软件为(Mac用户请使用homebrew来安装,括号里都是Mac的安装方式)linux

  • curl (brew install nghttp2 —with-nghttp2)
    Linux安装
    wget https://curl.haxx.se/download/curl-7.48.0.tar.gz
    tar xvf curl-7.48.0.tar.gz && cd curl-7.48.0
    而后输入如下命令,exit一次再进入而后版本是7.48就成功了:nginx

    $ ./configure --with-nghttp2=/usr/local --with-ssl
$ make
$ sudo make install
$ ldconfig
$ usr/local/bin/curl -V

  • nghttp2 (brew install nghttp2)
    安装网址git

    sudo apt-get install g++ make binutils autoconf automake autotools-dev libtool pkg-config \
zlib1g-dev libcunit1-dev libssl-dev libxml2-dev libev-dev libevent-dev libjansson-dev \
libjemalloc-dev cython python3-dev python-setuptools

    上面是安装依赖,以后就能够编译了:github

    $ autoreconf -i
$ automake
$ autoconf
$ ./configure
$ make
$ sudo make install
nginx (brew install nginx —devel)

  • nginx (brew install nginx —devel)
    Linux安装
    vim到/etc/apt/sources.list
    增长如下两行,其中$codename自行去该网站查询,好比Ubuntu 14.04 是 trusty;web

    deb http://nginx.org/packages/mainline/ubuntu/ $codename nginx
deb-src http://nginx.org/packages/mainline/ubuntu/ $codename nginx

    而后sudo apt-get update && sudo apt-get install nginx就能够装最新支持HTTP2的nginx啦;算法

  • apache (brew install httpd24 —with-http2)[本文重点讲解nginx]
    Linux安装shell

    二.证书

    1.自签发

    打开提供的Demo文件,terminal打开/keys路径,输入./ca.sh http2test.com,也能够生成其余域名或泛域名(.xx.com).注意:也能够不用生成证书,直接使用keys文件下提供的http2test.com证书;
    Let’s Encrypt
    打开Let’s Encrypt的官网,这里讲解若是已经启动nginx的状况下,如何签发证书。
    步骤:

  • 首先须要把代码克隆下来:git clone https://github.com/letsencrypt/letsencrypt && cd letsencrypt
  • 而后./letsencrypt-auto --help会执行一些初始化工做,而且显示支持的命令;

  • 好比个人web目录在~/www下,此步骤须要已搭建好服务器,而且能够经过example.com访问~/www里的内容,若是是动态网站,须要在nginx层设置一个映射,将/.well-known/acme-challenge映射到刚设置好的目录,也就是~/www

    location /.well-known/acme-challenge {   
root /home/$username/www;
}

  • (须要nginx已经装好,没装好的完成下面的nginx部分后再回来设置)那么./letsencrypt-auto certonly --webroot -w ~/www -d example.com,example.com是你但愿申请证书的域名,而后证书下发成功。

  • 而后在nginx中设置证书信息

    ssl_certificate      /etc/letsencrypt/live/$example.com/fullchain.pem;  
ssl_certificate_key  /etc/letsencrypt/live/$example.com/privkey.pem;

  • 而后sudo nginx -t && sudo nginx -s reload就能够看到啦

3、基本工具

  • curl
    curl的基本用法是:
    curl -v -o /dev/null --http2 http://nghttp2.org
    这里输入的是HTTP而不是HTTPS是由于,这里会采用HTTP2的ClearText模式,使用101 改变协议协商升级为HTTP2协议。
Connected to nghttp2.org (106.186.112.116) port 80 (#0)> GET / HTTP/1.1> Host: nghttp2.org
> User-Agent: curl/7.48.0> Accept: */*
> Connection: Upgrade, HTTP2-Settings
> Upgrade: h2c
> HTTP2-Settings: AAMAAABkAAQAAP__>
< HTTP/1.1 101 Switching Protocols
< Connection: Upgrade
< Upgrade: h2c
* Received 101* Using HTTP2, server supports multi-use* Connection state changed (HTTP/2 confirmed)
* TCP_NODELAY set
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=21* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
< HTTP/2.0 200< date:Sun, 10 Apr 2016 16:52:43 GMT
< content-type:text/html
< content-length:6646< last-modified:Sun, 03 Apr 2016 06:53:14 GMT
< etag:"5700bdda-19f6"< link:</stylesheets/screen.css>; rel=preload; as=stylesheet
< accept-ranges:bytes
< x-backend-header-rtt:0.000625< server:nghttpx nghttp2/1.10.0-DEV
< via:2 nghttpx
< x-frame-options:SAMEORIGIN
< x-xss-protection:1; mode=block
< x-content-type-options:nosniff
<

如今的大多数网站,都是经过302跳转到HTTPS网站来协商升级的,例如我厂的QQ邮箱;

Connected to mail.qq.com (183.60.15.162) port 80 (#0)
> GET / HTTP/1.1
> Host: mail.qq.com> User-Agent: curl/7.48.0
> Accept: */*
> Connection: Upgrade, HTTP2-Settings
> Upgrade: h2c
> HTTP2-Settings: AAMAAABkAAQAAP__>
< 
HTTP/1.1 302 Found
< Server: TWS
< Connection: close
< Date: Sun, 10 Apr 2016 16:58:48 GMT
< Content-Type: text/html; charset=GB18030
< Location: https://mail.qq.com/cgi-bin/loginpage
< Content-Length: 0
<
  • nghttp
    官方文档,安装nghttp2后有配套的nghttp 客户端、nghttpd 服务器、nghttpx 反向代理、h2load 负载测试等工具。
    输入命令nghttp -nv https://nghttp2.org(n表明不输出,v表明详细信息):
    结果列出了链接过程当中的HTTP2各个Stream信息,例如SETTINGS Frame,HEADER Frame等,也能够带上参数:
[  0.170] Connected
The negotiated protocol: h2
[  0.732] recv SETTINGS frame <length=12, flags=0x00, stream_id=0>
          (niv=2)
          [SETTINGS_MAX_CONCURRENT_STREAMS(0x03):100]
          [SETTINGS_INITIAL_WINDOW_SIZE(0x04):65535]
[  0.732] send SETTINGS frame <length=12, flags=0x00, stream_id=0>
          (niv=2)
          [SETTINGS_MAX_CONCURRENT_STREAMS(0x03):100]
          [SETTINGS_INITIAL_WINDOW_SIZE(0x04):65535]
[  0.732] send SETTINGS frame <length=0, flags=0x01, stream_id=0>
          ; ACK
          (niv=0)
[  0.732] send PRIORITY frame <length=5, flags=0x00, stream_id=3>
          (dep_stream_id=0, weight=201, exclusive=0)
[  0.732] send PRIORITY frame <length=5, flags=0x00, stream_id=5>
          (dep_stream_id=0, weight=101, exclusive=0)
[  0.732] send PRIORITY frame <length=5, flags=0x00, stream_id=7>
          (dep_stream_id=0, weight=1, exclusive=0)
[  0.732] send PRIORITY frame <length=5, flags=0x00, stream_id=9>
          (dep_stream_id=7, weight=1, exclusive=0)
[  0.732] send PRIORITY frame <length=5, flags=0x00, stream_id=11>
          (dep_stream_id=3, weight=1, exclusive=0)
[  0.732] send HEADERS frame <length=36, flags=0x25, stream_id=13>
          ; END_STREAM | END_HEADERS | PRIORITY
          (padlen=0, dep_stream_id=11, weight=16, exclusive=0)
          ; Open new stream
          :method: GET
          :path: /
          :scheme: https
          :authority: nghttp2.org
          accept: */*
          accept-encoding: gzip, deflate
          user-agent: nghttp2/1.9.1
[  0.891] recv SETTINGS frame <length=0, flags=0x01, stream_id=0>
          ; ACK
          (niv=0)
[  0.891] recv (stream_id=13) :method: GET
[  0.891] recv (stream_id=13) :scheme: https
[  0.892] recv (stream_id=13) :path: /stylesheets/screen.css
[  0.892] recv (stream_id=13) :authority: nghttp2.org
[  0.892] recv (stream_id=13) accept-encoding: gzip, deflate
[  0.892] recv (stream_id=13) user-agent: nghttp2/1.9.1
[  0.892] recv PUSH_PROMISE frame <length=47, flags=0x04, stream_id=13>
          ; END_HEADERS
          (padlen=0, promised_stream_id=2)
[  0.892] recv (stream_id=13) :status: 200
[  0.892] recv (stream_id=13) date: Sun, 10 Apr 2016 17:00:25 GMT
[  0.892] recv (stream_id=13) content-type: text/html
[  0.892] recv (stream_id=13) content-length: 6646
[  0.892] recv (stream_id=13) last-modified: Sun, 03 Apr 2016 06:53:14 GMT
[  0.892] recv (stream_id=13) etag: "5700bdda-19f6"
[  0.892] recv (stream_id=13) link: </stylesheets/screen.css>; rel=preload; as=stylesheet
[  0.892] recv (stream_id=13) accept-ranges: bytes
[  0.892] recv (stream_id=13) x-backend-header-rtt: 0.000663
[  0.892] recv (stream_id=13) strict-transport-security: max-age=31536000
[  0.892] recv (stream_id=13) server: nghttpx nghttp2/1.10.0-DEV
[  0.892] recv (stream_id=13) via: 2 nghttpx
[  0.892] recv (stream_id=13) x-frame-options: SAMEORIGIN
[  0.892] recv (stream_id=13) x-xss-protection: 1; mode=block
[  0.892] recv (stream_id=13) x-content-type-options: nosniff
[  0.892] recv HEADERS frame <length=266, flags=0x04, stream_id=13>
          ; END_HEADERS
          (padlen=0)
          ; First response header
[  0.893] recv DATA frame <length=6646, flags=0x01, stream_id=13>
          ; END_STREAM
[  0.893] recv (stream_id=2) :status: 200
[  0.893] recv (stream_id=2) date: Sun, 10 Apr 2016 17:00:25 GMT
[  0.893] recv (stream_id=2) content-type: text/css
[  0.893] recv (stream_id=2) content-length: 39082
[  0.893] recv (stream_id=2) last-modified: Sun, 03 Apr 2016 06:53:14 GMT
[  0.893] recv (stream_id=2) etag: "5700bdda-98aa"
[  0.893] recv (stream_id=2) accept-ranges: bytes
[  0.893] recv (stream_id=2) x-backend-header-rtt: 0.000427
[  0.893] recv (stream_id=2) strict-transport-security: max-age=31536000
[  0.893] recv (stream_id=2) server: nghttpx nghttp2/1.10.0-DEV
[  0.893] recv (stream_id=2) via: 2 nghttpx
[  0.893] recv (stream_id=2) x-frame-options: SAMEORIGIN
[  0.893] recv (stream_id=2) x-xss-protection: 1; mode=block
[  0.893] recv (stream_id=2) x-content-type-options: nosniff
[  0.893] recv (stream_id=2) x-http2-push: 1
[  0.893] recv HEADERS frame <length=62, flags=0x04, stream_id=2>
          ; END_HEADERS
          (padlen=0)
          ; First push response header
[  1.407] recv DATA frame <length=16384, flags=0x00, stream_id=2>[  1.563] send WINDOW_UPDATE frame <length=4, flags=0x00, stream_id=0>
          (window_size_increment=33412)
[  1.740] recv DATA frame <length=16384, flags=0x00, stream_id=2>[  1.741] recv DATA frame <length=6314, flags=0x01, stream_id=2>
          ; END_STREAM
[  1.741] send GOAWAY frame <length=8, flags=0x00, stream_id=0>
          (last_stream_id=2, error_code=NO_ERROR(0x00), opaque_data(0)=[])

[  0.170] Connected
The negotiated protocol: h2
[  0.732] recv SETTINGS frame <length=12, flags=0x00, stream_id=0>
          (niv=2)
          [SETTINGS_MAX_CONCURRENT_STREAMS(0x03):100]
          [SETTINGS_INITIAL_WINDOW_SIZE(0x04):65535]
[  0.732] send SETTINGS frame <length=12, flags=0x00, stream_id=0>
          (niv=2)
          [SETTINGS_MAX_CONCURRENT_STREAMS(0x03):100]
          [SETTINGS_INITIAL_WINDOW_SIZE(0x04):65535]
[  0.732] send SETTINGS frame <length=0, flags=0x01, stream_id=0>
          ; ACK
          (niv=0)
[  0.732] send PRIORITY frame <length=5, flags=0x00, stream_id=3>
          (dep_stream_id=0, weight=201, exclusive=0)
[  0.732] send PRIORITY frame <length=5, flags=0x00, stream_id=5>
          (dep_stream_id=0, weight=101, exclusive=0)
[  0.732] send PRIORITY frame <length=5, flags=0x00, stream_id=7>
          (dep_stream_id=0, weight=1, exclusive=0)
[  0.732] send PRIORITY frame <length=5, flags=0x00, stream_id=9>
          (dep_stream_id=7, weight=1, exclusive=0)
[  0.732] send PRIORITY frame <length=5, flags=0x00, stream_id=11>
          (dep_stream_id=3, weight=1, exclusive=0)
[  0.732] send HEADERS frame <length=36, flags=0x25, stream_id=13>
          ; END_STREAM | END_HEADERS | PRIORITY
          (padlen=0, dep_stream_id=11, weight=16, exclusive=0)
          ; Open new stream
          :method: GET
          :path: /
          :scheme: https
          :authority: nghttp2.org
          accept: */*
          accept-encoding: gzip, deflate
          user-agent: nghttp2/1.9.1
[  0.891] recv SETTINGS frame <length=0, flags=0x01, stream_id=0>
          ; ACK
          (niv=0)
[  0.891] recv (stream_id=13) :method: GET
[  0.891] recv (stream_id=13) :scheme: https
[  0.892] recv (stream_id=13) :path: /stylesheets/screen.css
[  0.892] recv (stream_id=13) :authority: nghttp2.org
[  0.892] recv (stream_id=13) accept-encoding: gzip, deflate
[  0.892] recv (stream_id=13) user-agent: nghttp2/1.9.1
[  0.892] recv PUSH_PROMISE frame <length=47, flags=0x04, stream_id=13>
          ; END_HEADERS
          (padlen=0, promised_stream_id=2)
[  0.892] recv (stream_id=13) :status: 200
[  0.892] recv (stream_id=13) date: Sun, 10 Apr 2016 17:00:25 GMT
[  0.892] recv (stream_id=13) content-type: text/html
[  0.892] recv (stream_id=13) content-length: 6646
[  0.892] recv (stream_id=13) last-modified: Sun, 03 Apr 2016 06:53:14 GMT
[  0.892] recv (stream_id=13) etag: "5700bdda-19f6"
[  0.892] recv (stream_id=13) link: </stylesheets/screen.css>; rel=preload; as=stylesheet
[  0.892] recv (stream_id=13) accept-ranges: bytes
[  0.892] recv (stream_id=13) x-backend-header-rtt: 0.000663
[  0.892] recv (stream_id=13) strict-transport-security: max-age=31536000
[  0.892] recv (stream_id=13) server: nghttpx nghttp2/1.10.0-DEV
[  0.892] recv (stream_id=13) via: 2 nghttpx
[  0.892] recv (stream_id=13) x-frame-options: SAMEORIGIN
[  0.892] recv (stream_id=13) x-xss-protection: 1; mode=block
[  0.892] recv (stream_id=13) x-content-type-options: nosniff
[  0.892] recv HEADERS frame <length=266, flags=0x04, stream_id=13>
          ; END_HEADERS
          (padlen=0)
          ; First response header
[  0.893] recv DATA frame <length=6646, flags=0x01, stream_id=13>
          ; END_STREAM
[  0.893] recv (stream_id=2) :status: 200
[  0.893] recv (stream_id=2) date: Sun, 10 Apr 2016 17:00:25 GMT
[  0.893] recv (stream_id=2) content-type: text/css
[  0.893] recv (stream_id=2) content-length: 39082
[  0.893] recv (stream_id=2) last-modified: Sun, 03 Apr 2016 06:53:14 GMT
[  0.893] recv (stream_id=2) etag: "5700bdda-98aa"
[  0.893] recv (stream_id=2) accept-ranges: bytes
[  0.893] recv (stream_id=2) x-backend-header-rtt: 0.000427
[  0.893] recv (stream_id=2) strict-transport-security: max-age=31536000
[  0.893] recv (stream_id=2) server: nghttpx nghttp2/1.10.0-DEV
[  0.893] recv (stream_id=2) via: 2 nghttpx
[  0.893] recv (stream_id=2) x-frame-options: SAMEORIGIN
[  0.893] recv (stream_id=2) x-xss-protection: 1; mode=block
[  0.893] recv (stream_id=2) x-content-type-options: nosniff
[  0.893] recv (stream_id=2) x-http2-push: 1
[  0.893] recv HEADERS frame <length=62, flags=0x04, stream_id=2>
          ; END_HEADERS
          (padlen=0)
          ; First push response header
[  1.407] recv DATA frame <length=16384, flags=0x00, stream_id=2>[  1.563] send WINDOW_UPDATE frame <length=4, flags=0x00, stream_id=0>
          (window_size_increment=33412)
[  1.740] recv DATA frame <length=16384, flags=0x00, stream_id=2>[  1.741] recv DATA frame <length=6314, flags=0x01, stream_id=2>
          ; END_STREAM
[  1.741] send GOAWAY frame <length=8, flags=0x00, stream_id=0>
          (last_stream_id=2, error_code=NO_ERROR(0x00), opaque_data(0)=[])

还有这些参数:

-v : 显示详细信息
-n : 不输出请求返回数据内容
-t : 请求超时设置
-w : 设置初始窗口大小
-a : 解析页面获取页面上的资源
-H : 给请求增长特定头部信息,例如: -H':method:PUT'-p: 设置请求权重 
--no-dep : 不发送依赖信息
  • nghttpd
    官方文档,使用nghttpd,能够架设一个简易的支持HTTP2的服务器。打开附件中的示例文件,在路径demos/nghttp/里有一个run.sh(须要以管理员权限执行) 
    $ cd demos/nghttp
$ sudo ./run.sh [server-push]
    就能够执行提供的shell脚本,第三个参数server-push是可选的,若是不须要server-push功能,直接sudo ./run.sh就能够了,在本地设置好host 127.0.0.1 http2test.com后,就能够在本地浏览器中访问了,路径是https://http2test.com/examples/dashboard/。因为自签的证书不被信任,须要安装公钥keys/*.crt文件并信任(Mac中须要打开keychain这个软件,而后找到刚安装的证书,改成老是信任),安装信任后,打开Chrome就不会提示警告了;
    若是须要开启server-push功能,输入指令sudo ./run.sh server-push,shell脚本里设置了-p/examples/dashboard/=/examples/dashboard/d3.js,当请求路径/examples/dashboard/时,就推送/examples/dashboard/d3.js文件。

4、服务器准备

  • nginx
    nginx的conf文件里的设置,设置完后须要sudo nginx -s reload,因为nginx的ngx_http_v2_module模块是替代之前的ngx_http_spdy_module,故开启HTTP2支持后,就没法同时开启SPDY支持:

    server {        
listen       443 ssl http2;        
server_name  http2test.com; 

ssl_certificate      $证书地址;        
ssl_certificate_key  $证书私钥地址;  

ssl_session_cache    shared:SSL:1m;        
ssl_session_timeout  5m; 

ssl_ciphers  HIGH:!aNULL:!MD5;        
ssl_prefer_server_ciphers  on;   

location / {            
root   $静态文件地址;            
index  index.html index.htm;
    }
}

  • h2o
    这里引入下Server Push的概念,在上一篇概念篇有介绍道,Server Push就是,当请求时,服务器同时将其它文件也推送过来,HTTP2的说明中,并无规定Server Push具体的实现策略,这个可由服务器和客户端自主决定:

  • Jetty:jetty经过referrer创建了一个依赖模型,该模型能够应用在CDN里,方便配置;
  • h2o:经过Cookie实现了cache aware server push——可感知缓存的服务器推送。第一次推送时,服务器端set-cookie,将要推送的路径+etag存入一个集合,经过算法生产指纹编码为base64存入cookie,以后经过cookie来判断是否须要推送该文件;
    这里着重介绍h2o,为何h2o要这么作呢?由于流量就是钱啊。。。客户端接收到服务器端发送的PUSHPROMISE Frame后,能够经过是否发送RST Frame来拒绝掉服务器推送的文件,可是在这个过程当中,服务器推送的文件可能已经发送一部分过来了,若是客户端决定不接收服务器推送的文件,那么以前发送的部分就是浪费掉的流量,h2o就是为了解决这个问题;在设置好h2o后,咱们来看看第一次访问的结果:

    让咱们来看看第二次访问的结果:

    能够看到,第二次访问时,并无PUSHPROMISE Frame了,也就是说,服务器再也不推送文件了。

五.开发准备

  • wireshark
    这里讲解基本的wireshark使用,因为大多数的HTTP2都是基于Over TLS版,也就是须要解密才能看到正确的HTTP2包内容;wireshark提供了两个方式:
    使用SSLKEYLOGFILE,使得wireshark可使用Firefox/Chrome的解密信息
    首先在wireshark的Preferences -> Protocol -> SSL配置一个可读的文件地址,而后在环境变量,例如Mac是~/.bashprofile

    export SSLKEYLOGFILE=$刚配置的地址
source     ~/.bashprofile

    经过Terminal打开Firefox或Chrome,这样才能使用环境变量SSLKEYLOGFILE
    open -a Google\ Chrome
    该方法的局限是,只能在电脑上抓包使用,而且只能使用Chrome和Firefox;
    还有一个方法是配置RSA私钥,不过这种办法的局限是多种加密方式不支持,而且该方法必须纪录完整的TLS握手过程,因此建议打开浏览器访问前就已经开始监听;
    配置好解密方式后,使用浏览器打开刚跑起来的HTTP2 Demo,https://http2test.com/examples/dashboard/,而后再筛选出输入http2并回车,就能够看到筛选的HTTP2包。

  • fiddler
    fiddler解密HTTPS采用的是中间人攻击的方法,客户端访问到fiddler代理服务器,而后fiddler代理服务器再模拟客户端访问到网站。那么,须要安装Fiddler的根认证证书,同时启用HTTPS解密功能。

    对于Fiddler来讲,对于每一个机器其实下发的实际上是不一样的根证书,因此,必定要经过Fiddler的配置网页来安装证书(配置代理后,打开网站http://ipv4.fiddler:8888,而后点击图中的FiddlerRoot Certificate来下载安装)

    针对iOS及部分高版本的Android,证书中的部分信息是必要的,有两个办法。
    (1) 采用如图所示的设置(iOS 9亲测可用),
    (2) 安装使用Fiddler CertMaker插件
    而后须要介绍的一个点是FiddlerScript,这是一个很强大的功能。若是须要将之前调试HTTP的方法在HTTPS一样适用,须要有这些设置。,而后以后我也会继续更新Fiddler调试部分的内容,请收藏哦。在Willow的rule里设置HTTPS -> HTTP; HTTPS -> File; 都是能够生效的。
    若是须要HTTPS -> HTTPS 或者 HTTPS -> HTTP,能够采用上面连接的方法,也能够设置oSession["x-replywithtunnel"] = "FakeTunnel"。

    if (oSession.HostnameIs("app.yourdomain.com"))
{    // Handle CONNECT Tunnels
if (oSession.HTTPMethodIs("CONNECT"))
{
    oSession["x-replywithtunnel"] = "FakeTunnel";        return;
}

oSession.fullUrl = "http://somedomain:someport" + oSession.PathAndQuery;
}

六.SSL/TLS部分小贴士

1.活用证书,提升性能

首先来看本地搭建的HTTPS服务:

第一个状况是,同一个IP,可是域名不一样,同时,使用的证书也不一样:第一张图显示的域名是http2test.com,第二张图显示的域名是http2.icese7en.com,他们使用的证书也是不一样的,能够看到TCP Stream这一列,具备不一样的序号(相同序号代表他们使用的是同一个TCP链接)

第二个状况是,同一个IP,域名不一样,可是使用的证书是相同的:第一张图的域名是cdn1.http2test.com,第二张图的域名是cdn2.http2test.com,他们使用的证书(第三张图)是泛域名*.http2test.com,他们的TCP Stream序号都是30,复用同一条TCP链接



那么,若是域名不一样,甚至都不是子域名的方式,也能够经过这一个点去优化吗?是能够的,经过证书里的subjectAltName,咱们能够在证书里管理多个不一样域名,例如google的证书:

不过这样证书很贵就是了 - -

2.SSL/TLS提升安全

HSTS——HTTP严格传输协议
HSTS主要是为了改善如下几个问题:

  • 没办法知道一个网站是否支持TLS:例如第一次链接时,若是没有指定协议名,会优先采用http协议,有安全隐患。而开启HSTS后,第一次(以前访问过该域名)以后的访问浏览器会自动强制使用HTTPS访问;
  • 对证书问题的宽容:未开启HSTS时,若是证书有问题,客户端只会提示警告,而不是禁止访问,开启HSTS后,会被禁止访问;
  • mixed-content问题:开启HSTS后,一个HTTPS页面上的同域名下的非HTTPS资源会自动升级为HTTPS访问;

要开启HSTS,只须要服务器端在返回头中返回(不支持IP)

Strict-Transport-Security: max-age=31536000 [; includeSubDomains] [; preload]
# includeSubDomains 能够开启子域名的HSTS功能# 不过须要评估这么作的是否会有负面影响

在max-age指定的时间内,浏览器都自动以HTTPS访问。若是须要关闭HSTS,返回max-age=0就能够了。

注意

  • HSTS的第一次访问仍然具备被挟持的危险,可经过HSTS preload来减轻影响(须要申请加入各浏览器的preload-list);
  • HSTS时间是基于本地时间计算的,若是客户端时间被篡改,可能会形成HSTS策略被失效绕过。
  • 引用自关于启用 HTTPS 的一些经验分享(一)

    只要你不能确保永远提供 HTTPS 服务,就不要启用。由于一旦 HSTS 生效,你再想把网站重定向为 HTTP,以前的老用户会被无限重定向,惟一的办法是换新域名

CSP——内容安全政策
CSP是一个声明式的安全机制,本来的目的是防止XSS跨站脚本攻击。例如,CSP能够彻底禁止内联的Javascript代码的执行,控制哪些外联的Javascript文件能够被执行。

Content-Security-Policy: default-src 'self'; img-src *; script-src scripts.example.com
上面的CSP策略是,默认容许本源的资源的访问,容许全部URL的图片显示,外链脚本只容许来自于scripts.example.com的文件执行;

Content-Security-Policy: default-src https: 'unsafe-inline' 'unsafe-eval'; connect-src https:
上面的CSP策略是,默认容许来自于任何URL的资源,只要它是安全的HTTPS,同时开启了内联JS和eval的执行(默认是被CSP禁止的),connect-src设定了Ajax请求只能请求HTTPS;(部分开启内联JS的执行可参考Content Security Policy Level 2 介绍)

CSP上报
使用report-uri指令,违反CSP策略的行为都会被上报到该CGI

文章来源于公众号:小时光茶社(Tech Teahouse)

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程