什么是HSTS？網(wǎng)站開啟HSTS的作用

什么是HSTS？

HSTS是國際互聯(lián)網(wǎng)工程組織 IETF 正在推行一種新的 Web 安全協(xié)議，網(wǎng)站采用 HSTS 后，用戶訪問時無需手動在地址欄中輸入 HTTPS，瀏覽器會自動采用 HTTPS 訪問網(wǎng)站地址，從而保證用戶始終訪問到網(wǎng)站的加密鏈接，保護(hù)數(shù)據(jù)傳輸安全。

?

HSTS操作原理：

1、需要在服務(wù)器響應(yīng)頭中添加 HSTS，只有在 HTTPS訪問返回時才生效。

2、之后設(shè)置Max-age參數(shù)，設(shè)置的時間建議是6個月，不要設(shè)置時間太長。

3、如果用戶訪問使用HTTP，客戶端會自動進(jìn)行內(nèi)部跳轉(zhuǎn)，并且能夠看到 307 Redirect Internel 的響應(yīng)碼。

4、網(wǎng)站服務(wù)器變成了 HTTPS 訪問源服務(wù)器。

?

網(wǎng)站開啟HSTS的作用：

1、預(yù)防SSLStrip 的中間人攻擊，有效避免了中間人對 80 端口的劫持。

2、如果證書出現(xiàn)錯誤，則顯示錯誤，用戶不能回避警告。

3、為瀏覽器節(jié)省來一次 302/301 的跳轉(zhuǎn)請求，大大提升安全系數(shù)和用戶體驗。

4、節(jié)省 HTTPS 通信 RT 和強(qiáng)制使用 HTTPS?。

閱讀本文的人還可以閱讀：

HTTPS是什么，如何部署HTTPS？

如何正確啟用HTTPS?為什么要啟用HTTPS訪問？

什么是RPC協(xié)議？RPC協(xié)議與HTTP協(xié)議的區(qū)別