regarding-hsts-in-netscaler 参考: Strict Transport Security (STS or HSTS) with Citrix NetScaler and Access Gateway Enterprise https://www.citrix.com/blogs/2010/09/10/strict-transport-security-sts-or-hsts-with-citrix-netscaler-and-access-gateway-enterpr…

前言 HSTS 的出现,对 HTTPS 劫持带来莫大的挑战. 不过,HSTS 也不是万能的,它只能解决 SSLStrip 这类劫持方式.但仔细想想,SSLStrip 这种算劫持吗? 劫持 vs 钓鱼 从本质上讲,SSLStrip 这类工具的技术含量是很低的.它既没破解什么算法,也没找到协议漏洞,只是修改和代理了明文的封包而已. 如果说劫持,要保持源站点不变才算的话,那 SSLStrip 并没做到.根据同源的定义,<协议, 主机名, 端口> 三者必须相同.显然它修改了协议,因此并非在源站点上劫持…

HSTS(HTTP Strict Transport Security) 简单来说就是由浏览器进行http向https的重定向.如果不使用HSTS,当用户在浏览器中输入网址时没有加https,浏览器会默认使用http访问,所以对于https站点,通常会在服务端进行http至https的重定向.如果用了HSTS,就可以减少服务端的这次重定向. 当我们部署https时,发现HSTS的这个用处后,立马就使用了它,使用方法很简单——在响应头中加上 strict-transport-security:ma…

LB 简单比较 – F5.NetScaler.LVS.Nginx.Haproxy 负载均衡技术是构建大型网站必不可少的架构策略之一.它的目的是,把用户的请求分发到多台后端的设备上,用以均衡服务器的负载.我们可以把负载均衡器划分为两大类:硬件负载均衡器和软件负载均衡器. 硬件负载均衡器,常见的有NetScaler.F5.Radware和Array等,这些设备为专业的厂商开发的负载均衡器,价格比较高昂,但也提 供了高 可用性和高稳定性,同时还提供专业的技术服务,这些设备往往都是一些大企业(非IT类)…

https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security [阅读理解式翻译,非严格遵循原始文档,以更生动表现出文章本义] HTTP Strict Transport Security HTTP Strict Transport Security (often abbreviated as HSTS) is a security feature that lets a web site…

源地址:https://msandbu.wordpress.com/2014/10/31/netscaler-and-real-performance-tuning/ 作者显然不是以英语为母语的,所以有些地方我看着也比较费劲,但是十分感谢原作者. =========翻译内容开始========= 昨儿我跟Citrix User Group在挪威一起就Netscaler和性能调整开了个会,45分钟的时间里我也没法说太多关于性能调整的,但是我觉得我还是搞了个大差不离. 下面是会议日程: TCP概述,…

导读 Netcraft 公司最近公布了他们检测SSL/TLS网站的研究,并指出只有仅仅5%的用户正确执行了HTTP严格传输安全HSTS.本文介绍nginx如何配置HSTS. 什么是HSTS HTTPS(SSL和TLS)确保用户和网站通讯过程中安全,使攻击者难于拦截.修改和假冒.当用户手动输入域名或http://链接,该网站的第一个请求是未加密的,使用普通的http.最安全的网站立即发送回一个重定向使用户引向到https连接,然而,中间人攻击者可能会攻击拦截初始的http请求,从而控制用户后续的回…

使用mitmf 来绕过HSTS站点抓取登陆明文 HSTS简介 HSTS是HTTP Strict Transport Security的缩写,即:"HTTP严格安全传输".当浏览器第一次访问一个HSTS站点,会跳转到https页面,并种植hsts,下次再访问此站时,只要HSTS 还在有效期中,浏览器就会响应一个 HTTP 307 头,在不经过网络请求直接本地强制http跳转到https.这样可以有效防止基于SSLStrip的中间人攻击,对于伪造的证书,会显示错误,并且不允许用户忽略警告.…

额 就这个题目 Citrix NetScaler 是一个VPN,一个代理,一个Gateway的存在,一个Citrix的产品 首先是我们利用Citrix NetScaler的测试环境: 架构上分2种: A.Citrix NetScaler做路由 AG做路由,需要在AG上的额外配置 B.额外添加一个路由 能有与AG配置的Server有WI,Storefront,AppC以及MDM. AG和WI.Storefront,以前介绍过. AG和AppC,AG配置也不多说了,方法和上面类似,10.1以后有了向…

web前端如果想实现cookie跨站点,跨浏览器,清除浏览器cookie该cookie也不会被删除这似乎有点难,下面的教程让你完全摆脱document.cookie 1.服务器端设置HSTS 如PHP: <?php header("Strict-Transport-Security: max-age=31536000; includeSubDomains");?> includeSubDomains必不可少,因为Super Cookie要用到很多子域名(Super Cook…

// HTTP strict transport security (HSTS) is defined in// http://tools.ietf.org/html/ietf-websec-strict-transport-sec, and// HTTP-based dynamic public key pinning (HPKP) is defined in// http://tools.ietf.org/html/ietf-websec-key-pinning. 通过观察文件名,发现涉及的…

HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一) 下面来查看其他对保存HSTS信息的enabled_sts_hosts_进行操作的函数,对这些函数进行追踪来了解是如何对状态进行管理的. 1.首先发现几个没有调用者的方法 TransportSecurityState::DeleteDynamicDataForHost提供了同时删除HSTS和PKP的机制,但是除单元测试外没有其他地方调用该方法.同样,void Tran…

在安装配置 SSL 证书时,可以使用一种能使数据传输更加安全的Web安全协议,即在服务器端上开启 HSTS (HTTP Strict Transport Security).它告诉浏览器只能通过HTTPS访问,而绝对禁止HTTP方式. HTTP Strict Transport Security (HSTS) is an opt-in security enhancement that is specified by a web application through the use of a…

近些年,随着域名劫持.信息泄漏等网络安全事件的频繁发生,网站安全也变得越来越重要,也促成了网络传输协议从 HTTP 到 HTTPS 再到 HSTS 的转变. HTTP HTTP(超文本传输协议) 是一种用于分布式.协作式和超媒体信息系统的应用层协议.HTTP 是互联网数据通信的基础.它是由万维网协会(W3C)和互联网工程任务组(IETF)进行协调制定了 HTTP 的标准,最终发布了一系列的 RFC,并且在1999年6月公布的 RFC 2616,定义了 HTTP 协议中现今广泛使用的一个版本--H…

在安装配置 SSL 证书时,可以使用一种能使数据传输更加安全的Web安全协议,即在服务器端上开启HSTS (HTTP Strict Transport Security).它告诉浏览器只能通过HTTPS访问,而绝对禁止HTTP方式. HTTP Strict Transport Security (HSTS) is an opt-in security enhancement that is specified by a web application through the use of a s…

随着互联网的快速发展,人们在生活中越来越离不开互联网.无论是社交.购物还是搜索,互联网都能给人带来很多的便捷.与此同时,由于用户对网络安全的不了解和一些网站.协议的安全漏洞,让很多用户的个人信息数据“裸露”在互联网中.为此谷歌在 Chrome 68 版本后,其界面将会让使用者更容易了解 HTTP 网页是不安全的,并持续推动网站预设使用 HTTPS.但 HTTP 依旧可以访问使用,为此一些网站可以设置 HSTS 策略,以此来强制浏览器使用 HTTPS 与网站通信,来保障网站更加安全. 多了 SSL…

How To Configure NetScaler AppFlow for SolarWinds 来源  https://support.citrix.com/article/CTX227300 Article | Configuration | Created: 02 Sep 2017 | Modified: 04 Sep 2017 Applicable Products NetScaler Objective This article describes how to configure …

浅析HSTS 一.HSTS是什么? HSTS全称:HTTP Strict Transport Security,意译:HTTP严格传输安全,是一个Web安全策略机制. 二.HSTS解决什么问题? 它解决的是:网站从Http转跳到Https时,可能出现的安全问题. 一般从Http跳转Https的流程: Client从Http切换到Https前是明文传输,因此是可以被Man-In-The-Middle劫持的,如下流程: 三.HSTS如何解决? 要解决从Http切换到Https被劫持的问题,只要一开始…

s 五.Citrix NetScaler 和 CDN 案例 问题描述: Citrix 10.5.66.9软件版本下,存在计时器bug,此bug会造成CDN长连接回源超过设备默认的180S,会发fin包,造成CDN产生502报错. 如:CDN 连接timeout 600s = 10分钟,Netscaler 默认HTTP.SSL vServer Client TIMEOUT 为180s = 3分钟. 造成CDN在180s中无任何连接过来,Netscaler会终止连接,但CDN认为180s连接仍存在,…

近年来随着 Google.Apple.百度等公司不断推动 HTTPS 普及,全网 HTTPS 已是大势所趋.目前多数网站都已经支持 HTTPS 访问,但是在由 HTTP 转向 HTTPS 路程中,不少网站依然会面临很多问题. 通常用户准备访问某个网站时,不会在输入的域名前面加上 http:// 或者 https://,需要浏览器自动填充,而浏览器默认填充的都是 http://,需要网站采用 301/302 跳转的方式,由 HTTP 跳转到 HTTPS.  301 跳转 由于 301/302 跳转…

如果你的网站启用了HSTS 在chrome中会用缓存效果,即使你的站点取消了HSTS,下次访问时,仍旧会自动给你重定向到HSTS. 那么如何清除 HSTS呢? chrome://net-internals/#hsts 先Query domain 查找你的 网站地址 (如有子域名需要包含) ,如显示有缓存,Delete domain 清除之.…

最近线上产品突然在 Chrome 浏览器上出现 307 状态码,并跳转到 https 版.由于 https 尚未部署完毕,导致了相当严重的后果. 但是 307 代码是什么含义呢?页面又为何会出现 307 状态码呢?我之前都没见过这个状态码,查了才知道原来它也是一种重定向. 浏览器刚开始出现 307 状态码的我的第一反应是后端代码是不是又写了什么奇怪的东西进去.但是后来发现后端代码并没有响应这个状态码,然后我又翻了 Nginx 配置等东西,也没发现什么不和谐的地方.并且之后测试时即使断开网络,浏览…

HSTS(HTTP Strict Transport Security) 当用户在浏览器中输入一个域名,如果没有注明前缀(也就是没输入"http"的时候)的时候,浏览器会默认按照http协议,访问80端口,这时候,服务端可能返回跳转让浏览器跳到https,HSTS可以让浏览器记住指定域名是要用https访问的. 当用户下次访问这个域名,不管使用什么标注,都强行跳到https. 作用: 该功能可以阻止SSL剥离攻击,大多数时候用户进入一个网站是通过点击别的网页跳入,如果别的网页写的地址是…

一.简介   二.部署   三.其他 1)利用 HSTS 安全协议柔性解决全站HTTPS 的兼容性问题 http://www.toutiao.com/a6383719177903833346/…

工作需要,所以英文+中文,绝壁不是装逼...(关于这点勿喷) This post will cover only the basics for getting NetScaler up and running to support XenDesktop\XenApp. It in no way will help you do some other more advanced NetScaler stuff. MIPS's and SNIP's and NSIP's and VIP's, Oh…

302跳转 通常情况下,我们将用户的 HTTP 请求 302 跳转到 HTTPS,这会存在两个问题: 不够安全,302 跳转会暴露用户访问站点,也容易被劫持 拖慢访问速度,302 跳转需要一个 RTT(The role of packet loss and round-trip time),浏览器执行跳转也需要时间 HSTS 302 跳转是由浏览器触发的,服务器无法完全控制,这个需求导致了 HSTS(HTTP Strict Transport Security)的诞生.HTSP 就是添加 hea…

1. 缘起:启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不过浏览器依然能正确的使用HTTPS发起请求.这背后多亏了服务器和浏览器的协作,如下图所示. 图1:服务器和浏览器在背后帮用户做了很多工作 简单来讲就是,浏览器向网站发起一次HTTP请求,在得到一个重定向响应后,发起一次HTTPS请求并得到最终…

HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP.HSTS是网站从HTTP到HTTPS中网站性能及安全优化非常重要的一个步骤,能够解决和兼容HTTPS中的一些不足之处.HSTS在全站HTTPS下有一个较大的正向作用,推荐使用. 一.HSTS是什么? 国际互联网工程组织IETE正在推行一种新的Web安全协议HTTP Strict Transport Security(HSTS).采用HSTS协议的网站将保证浏览器始…

访问http网站,和服务器交互的步骤浏览器向服务器发起一次HTTP请求服务器返回一个重定向地址浏览器在发送一次HTTPS请求,得到最终内容 上面浏览器发送http请求后容易被拦截,使用HSTS后可以避免浏览器发送http请求,浏览器自己将http转为Https请求在访问服务器服务器返回内容 HSTS:HTTP Strict-Transport-Security 服务器返回给浏览器的响应头中,添加如下Strict-Transport-Security: max-age=31536000; incl…

利用VRID/VMAC实现更安全的netscaler HA故障切换 virtual MAC在故障切换(failover)中的作用.    在一个HA模式中,首要节点(primary node)拥有所有浮动IP,包括MIP(mapped IP).VIP(virtual IP)等等.在网络环境中,首要节点会把这些浮动IP和自身的MAC地址返回给ARP请求,从而使得子网外的设备(例如路由器)的ARP表把该MAC和这些IP匹配起来.    当failover发生的时候,次要节点(secondary no…