什么是HSTS?
HSTS是国际互联网工程组织 IETF 正在推行一种新的 Web 安全协议,网站采用 HSTS 后,用户访问时无需手动在地址栏中输入 HTTPS,浏览器会自动采用 HTTPS 访问网站地址,从而保证用户始终访问到网站的加密链接,保护数据传输安全。
HSTS操作原理:
1、需要在服务器响应头中添加 HSTS,只有在 HTTPS访问返回时才生效。
2、之后设置Max-age参数,设置的时间建议是6个月,不要设置时间太长。
3、如果用户访问使用HTTP,客户端会自动进行内部跳转,并且能够看到 307 Redirect Internel 的响应码。
4、网站服务器变成了 HTTPS 访问源服务器。
网站开启HSTS的作用:
1、预防SSLStrip 的中间人攻击,有效避免了中间人对 80 端口的劫持。
2、如果证书出现错误,则显示错误,用户不能回避警告。
3、为浏览器节省来一次 302/301 的跳转请求,大大提升安全系数和用户体验。
4、节省 HTTPS 通信 RT 和强制使用 HTTPS 。
声明:本站所有资源,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。