Public-Key-Pins

在本文章中

语法
指令
示例
规范
浏览器兼容性
相关内容

Public-Key-Pins 是一个响应首部，其中含有该 Web 服务器用来进行加密的 public key （公钥），以此来降低被使用伪造的证书进行 MITM （中间人攻击）的风险。假如在其中指定了一个或多个加密串，但是没有一个属于该服务器，那么浏览器将会认定响应不合法，并且不会将其展示给用户。

更多相关信息请参考 HTTP Public Key Pinning 这篇文章。

Header type	Response header
Forbidden header name	no

语法

Public-Key-Pins: pin-sha256="<pin-value>";
                 max-age=<expire-time>;
                 includeSubDomains;
                 report-uri="<uri>"

指令

pin-sha256="<pin-value>": 引号里面的是内容是以Base64编码的 SPKI(公钥) 指纹.你可以为多个不同的公钥都设定对应的pins。一些浏览器将来可能也支持非SHA-256 的哈希算法。
max-age=<expire-time>: 指定以秒为单位的时间，在该时间内，浏览器应该保证改站点只能以这些指定的密钥进行访问
includeSubDomains 可选: 如果改可选性被指定，该规则也会应用到网站的所有子域名
report-uri="<uri>" 可选: 如果该可选项被指定，一旦pin校验失败，就会发送此相关异常信息给该URL

示例

如果设置不合理，HPKP可能会使得用户长时间不能访问网站。建议也同时固定备用证书或者CA证书。

Public-Key-Pins:
  pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=";
  pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=";
  max-age=5184000; includeSubDomains;
  report-uri="https://www.example.org/hpkp-report"

在这个例子里面，pin-sha256="cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs=" 固定了该服务器的公钥. 第二个固定申明pin-sha256="M8HztCzM3elUxkcjR2S5P4hhyBNf6lHkmjAHKhpGPWE=" 也固定了此服务的备用公钥. max-age=5184000 则是让客户端(浏览器)将该固定扩展信息存储两个月, 这个是IETF RFC建议时间。同时通过includeSubDomains 的声明使得改设置对所有子域名都生效；最后， report-uri="https://www.example.org/hpkp-report" 则是定义了验证失败时候发往的服务器地址。

规范

Specification	Title
RFC 7469, section 2.1: Public-Key-Pins	Public Key Pinning Extension for HTTP

Feature	Chrome	Edge	Firefox	Internet Explorer	Opera	Safari
Basic Support	(Yes)	No¹	35.0	?	(Yes)	?
report-uri	46	?	No²	?	33	?

Feature	Android	Chrome for Android	Edge mobile	Firefox for Android	IE mobile	Opera Android	iOS Safari
Basic Support	(Yes)	(Yes)	?	35.0	?	(Yes)	?
report-uri	(Yes)	(Yes)	?	No	?	33	?

1. Under consideration for future release.

2. See Bugzilla bug 1091176.

文档标签和贡献者

另见

Public-Key-Pins

语法

指令

示例

规范

浏览器兼容性

相关内容

文档标签和贡献者