网站已经开启HSTS支持

网站已经开启HSTS支持

9 Oct 2017

什么是HSTS?

维基百科:HTTP严格传输安全(英语:HTTP Strict Transport Security,缩写:HSTS)是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。
 

说人话:使用这个协议后,浏览器会自动采用HTTPS协议来访问你的网站

 

原理是什么?

通过给服务器添加 HSTS 响应头,浏览器接收到响应,当用户下次以HTTP访问时,客户端就会自动进行跳转,最终以HTTPS协议来访问资源。原先是通过给Apache、Ningix添加跳转配置,来实现跳转,而HSTS则直接在客户端实现了这一功能,省去了双方使用HTTP来通信这一流程,进一步加强了安全性。

 

如何配置?

支持HSTS很简单,只需要在服务端返回一个HSTS响应头即可,比如Apache只需在虚拟主机中加入如下内容:

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

配置成功后,可以通过ssllabs查询网站的安全评级