SafariでMITM攻撃からWebサーバーを保護する

Question

私は、Webサーバーが中間攻撃の人に安全であることを確認する方法を探していました。 Google ChromeとFirefoxがセキュリティ警告の後に前進することを選択したとしても、私のサーバーへのリクエストをブロックするように働くようです。私はチャールズプロキシを使って、MacでCharles Certを信頼することなくHttpsトラフィックを傍受することでこれをテストしています。

Safariで同じテストを実行すると、セキュリティで保護された警告を無視するように選択した場合、私はその手を差し伸べるでしょう。 Safariトラフィックをロックダウンするために必要な設定が増えているようです。

誰もがGitHubには信頼できない接続上のSafariのトラフィックをブロックするためにやっていることを知ってい：私は、私は次のメッセージを取得し、同じシナリオでgithub.comに移動しようとしたときので、これが可能である知っていますか？

Answer 1

Looks like SafariはHSTSをサポートしており、githubが使用しています。 HSTSをサポートしているブラウザは、予見可能な時間のために、このサイトが唯一の唯一のブラウザによって自動的にアップグレードされ、HTTPSとHTTPを使用しようとする試みで訪問しなければならないことを知っている

Strict-Transport-Security:max-age=31536000; includeSubdomains; preload 

この方法：彼らのHTTPレスポンスは次のヘッダーが含まれています。

サイトの最初の訪問後にのみ動作する基本的なHSTSは別として、preloadディレクティブも追加します。これはブラウザに、ブラウザに付属のプリロードされたHSTSリストにギブスが含まれていることをブラウザメーカーに伝えるので、ユーザが以前にサイトを訪れたことがなくてもブラウザはHSTSを適用します。詳細については、HSTS Preloadingを参照してください。