主页 / server / 问题 / 934721
Accepted
kenlukas
Asked: 2018-10-10 09:25:02 +0800 CST

在 HAProxy 中全局启用 HTTP 严格传输标头

  • 772

我想在 HAProxy v1.5 中为我的所有后端全局启用 HTTP 严格传输安全 (HSTS) 标头。

按照https://www.haproxy.com/blog/haproxy-and-http-strict-transport-security-hsts-header-in-http-redirects/的说明,我可以将以下行添加到后端配置文件和它按预期工作。

http-response set-header Strict-Transport-Security max-age=16000000;\ 
includeSubDomains;\ preload;

我有十几个后端文件,将来可能会有更多。我想把它放在一个地方。

我想要类似于它在 Apache 中的全局设置方式httpd.conf

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
haproxy

2 个回答

  1. Best Answer

    haproxy 没有像 Apache 那样的分层配置。我不认为这是可能的。

    • 3

  2. 现在 HAPROXY 确实支持 HSTS,为此我遵循了以下步骤

    这是我的cfg文件

    步骤#1添加静态密码(我不是为了好意而做的)

    frontend http-in
    bind 192.168.71.20:443 ssl crt /etc/ssl/private/domain.pem ca-file /etc/ssl/private/domain/domain.ca-bundle no-sslv3 force-tlsv12 no-tls-tickets ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-GCM-SHA384:AES128-SHA256:AES128-SHA:AES256-SHA256:AES256-SHA:!MD5:!aNULL:!DH:!RC4

    步骤 # 2 创建 ACL 以标记安全数据包

        # Distinguish between secure and insecure requests
acl secure dst_port eq 443

    保护您的 Cookie

        # Mark all cookies as secure if sent over SSL
rsprep ^Set-Cookie:\ (.*) Set-Cookie:\ \1;\ Secure if secure

    最后应用 HSTS 设置

        # Add the HSTS header with a 1 year max-age
rspadd Strict-Transport-Security:\ max-age=31536000 if secure

    之后重新启动 haproxy

    • 0

相关问题