什么是HSTS?
HSTS是國(guó)際互聯(lián)網(wǎng)工程組織 IETF 正在推行一種新的 Web 安全協(xié)議,網(wǎng)站采用 HSTS 后,用戶訪問時(shí)無需手動(dòng)在地址欄中輸入 HTTPS,瀏覽器會(huì)自動(dòng)采用 HTTPS 訪問網(wǎng)站地址,從而保證用戶始終訪問到網(wǎng)站的加密鏈接,保護(hù)數(shù)據(jù)傳輸安全。
?
HSTS操作原理:
1、需要在服務(wù)器響應(yīng)頭中添加 HSTS,只有在 HTTPS訪問返回時(shí)才生效。
2、之后設(shè)置Max-age參數(shù),設(shè)置的時(shí)間建議是6個(gè)月,不要設(shè)置時(shí)間太長(zhǎng)。
3、如果用戶訪問使用HTTP,客戶端會(huì)自動(dòng)進(jìn)行內(nèi)部跳轉(zhuǎn),并且能夠看到 307 Redirect Internel 的響應(yīng)碼。
4、網(wǎng)站服務(wù)器變成了 HTTPS 訪問源服務(wù)器。
?
網(wǎng)站開啟HSTS的作用:
1、預(yù)防SSLStrip 的中間人攻擊,有效避免了中間人對(duì) 80 端口的劫持。
2、如果證書出現(xiàn)錯(cuò)誤,則顯示錯(cuò)誤,用戶不能回避警告。
3、為瀏覽器節(jié)省來一次 302/301 的跳轉(zhuǎn)請(qǐng)求,大大提升安全系數(shù)和用戶體驗(yàn)。
4、節(jié)省 HTTPS 通信 RT 和強(qiáng)制使用 HTTPS?。
閱讀本文的人還可以閱讀: