1 votos

Explicación de la variable de servidor de la regla de reescritura de URL de IIS

Tengo el siguiente fragmento de código para IIS.

<configuration>
 <system.webServer>
   <rewrite>
     <rules>
       <rule name="HTTPS_301_Redirect" stopProcessing="true">
         <match url="(.*)" />
         <conditions>
           <add input="{HTTPS}" pattern="^OFF$" />
         </conditions>
         <action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}" appendQueryString="false" redirectType="Permanent" />
       </rule>
     </rules>
     <outboundRules>
       <rule name="Add_HSTS_Header" preCondition="USING_HTTPS" patternSyntax="Wildcard">
         <match serverVariable="RESPONSE_Strict-Transport-Security" pattern="*" />
         <action type="Rewrite" value="max-age=31536000" />
       </rule>
       <preConditions>
         <preCondition name="USING_HTTPS">
           <add input="{HTTPS}" pattern="^ON$" />
         </preCondition>
       </preConditions>
     </outboundRules>
   </rewrite>
 </system.webServer>
</configuration>

Se encuentra aquí:

https://www.owasp.org/index.php/HTTP_Strict_Transport_Security

P1: ¿Cómo sabes que esta es la sintaxis correcta? ¿Responde el subrayado a la variable del servidor (del fragmento de código anterior)?

serverVariable="RESPONSE_Strict-Transport-Security"

P2: ¿Dónde puedo encontrar más información al respecto?

0voto

Hyppy Puntos 11996

Seguridad de transporte estricta HTTP (HSTS) es una flag que un sitio web puede establecer para que toda la comunicación posterior de los navegadores compatibles sea forzada a HTTPS.

En su configuración, la flag indica a los navegadores que sólo deben utilizar HTTPS para su sitio durante al menos el próximo año. Esto se hace a través de una regla de reescritura saliente que añade la cabecera HSTS a todas las respuestas salientes.

Como la mayoría de los usuarios escriben en los sitios web como www.example.com o example.com y no https://www.example.com Esto es para ayudar a los usuarios a evitar el uso de HTTP sin cifrar para la comunicación.

0voto

Todd Puntos 2342
serverVariable="RESPONSE_Strict-Transport-Security"

es sólo la sintaxis de IIS URL Rewrite que significa, aplicar esta regla a la cabecera http de respuesta con el nombre Strict-Transport-Security

El documentación del módulo explica un poco esto.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: