什么是HSTS?
HSTS是國際互聯網工程組織 IETF 正在推行一種新的 Web 安全協議,網站采用 HSTS 后,用戶訪問時無需手動在地址欄中輸入 HTTPS,瀏覽器會自動采用 HTTPS 訪問網站地址,從而保證用戶始終訪問到網站的加密鏈接,保護數據傳輸安全。
?
HSTS操作原理:
1、需要在服務器響應頭中添加 HSTS,只有在 HTTPS訪問返回時才生效。
2、之后設置Max-age參數,設置的時間建議是6個月,不要設置時間太長。
3、如果用戶訪問使用HTTP,客戶端會自動進行內部跳轉,并且能夠看到 307 Redirect Internel 的響應碼。
4、網站服務器變成了 HTTPS 訪問源服務器。
?
網站開啟HSTS的作用:
1、預防SSLStrip 的中間人攻擊,有效避免了中間人對 80 端口的劫持。
2、如果證書出現錯誤,則顯示錯誤,用戶不能回避警告。
3、為瀏覽器節省來一次 302/301 的跳轉請求,大大提升安全系數和用戶體驗。
4、節省 HTTPS 通信 RT 和強制使用 HTTPS?。
閱讀本文的人還可以閱讀:
