Public-Key-Pins-Report-Only - HTTP 编辑

HTTP响应头部Public-Key-Pins-Report-Only用于设置在公钥固定不匹配时,发送错误信息到report-uri。 但和Public-Key-Pins不同的是,即便公钥固定异常, 其允许浏览器继续访问服务器。

 

更多信息可以查看Public-Key-Pins参考页面和HTTP Public Key Pinning文章

 

Header typeResponse header
Forbidden header nameno

语法

Public-Key-Pins-Report-Only: pin-sha256="<pin-value>";
                             max-age=<expire-time>;
                             includeSubDomains;
                             report-uri="<uri>"

指令

pin-sha256="<pin-value>"
引号里面的是内容是以Base64编码的 SPKI(公钥) 指纹。你可以为多个不同的公钥都设定对应的pins。 一些浏览器将来可能也支持非SHA-256 的哈希算法。
max-age=<expire-time>
该指令对 Public-Key-Pins-Report-Only无效,客户端会忽略也不会缓存此头部。
 
includeSubDomains可选
如果该选项被指定,该规则也会应用到网站的所有子域名
report-uri="<uri>"

     设置Pin验证失败报告的URL地址。这个指令应该和该头部一起使用,否则这个头部将是一个空操作。

 

例子

Public-Key-Pins-Report-Only:
  pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=";
  pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=";
  includeSubDomains;
  report-uri="https://www.example.org/hpkp-report"

在这个例子里面,pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=" 固定了该服务器的公钥.。第二个声明pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=" 也固定了服务器的备用公钥。同时通过includeSubDomains 的声明使得该设置对所有子域名都生效。最后, report-uri="https://www.example.org/hpkp-report" 则是定义了在验证失败时将异常信息发送到该服务器。

标准

SpecificationTitle
RFC 7469, section 2.1: Public-Key-Pins-Report-OnlyPublic Key Pinning Extension for HTTP

浏览器兼容

BCD tables only load in the browser

更多

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据

词条统计

浏览:47 次

字数:4914

最后编辑:6 年前

编辑次数:0 次

    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文