HTTP严格传输安全(HSTS)是一个Web服务器指令,它告知用户代理和Web浏览器如何通过在开始时发送并返回到浏览器的响应标题处理其连接。HSTS只是Web服务器或Web托管服务的捆绑安全设置中的一个箭头。

HTTP 严格传输安全(HSTS)是一个 Web 服务器指令,它告知用户代理和 Web 浏览器如何通过在开始时发送并返回到浏览器的响应标题处理其连接。这设置了严格的运输安全策略现场参数。它通过 HTTPS 加密强制这些连接,而无视任何脚本通过 HTTP 加载该域中的任何资源的呼叫。HSTS 只不过是 Web 服务器或 Web 托管服务的捆绑安全设置中的一个箭头。

HSTS是什么  第1张

HSTS 是 HTTP 严格传输安全(HTTP Strict Transport Security) 的缩写。 这是一种网站用来声明他们只能使用安全链接(HTTPS)访问的方法。 若是一个网站声明了 HSTS 策略,浏览器必须拒绝全部的 HTTP 链接并阻止用户接受不安全的 SSL 证书。 目前大多数主流浏览器都支持 HSTS (只有一些移动浏览器没法使用它)。

HSTS 工做原理

通常我们访问一个网站时,一般在浏览器中只输入网站地址,而不输入协议名。比如访问包小可,如果直接输入网址 http://leixue.com 或 leixue.com 时,这就给了中间人攻击的一个机会,重定向会可能会被破坏,从而定向到一个恶意站点而不是应该访问的加密页面。HTTP 严格传输安全(HSTS)功能使 Web 服务器告知浏览器绝不使用 HTTP 访问,在浏览器端自动将所有到该站点的 HTTP 访问替换为 HTTPS 访问。

即使你打开网站看到的是全站 HTTPS 状态 ,你是因为我们在服务器上做过 301/302 跳转到 https://leixue.com 这个地址的, HTTPS 网站的做法是对用户的 HTTP 访问做 302 跳转到 HTTPS,并重新建连。

HSTS 是否彻底安全

不幸的是,你第一次访问这个网站,你不受 HSTS 的保护。 若是网站向 HTTP 链接添加 HSTS 头,则该报头将被忽略。 这是由于攻击者能够在中间人攻击(man-in-the-middle attack)中删除或添加头部。 HSTS 报头不可信,除非它是经过 HTTPS 传递的。dom

你还应该知道,每次您的浏览器读取 header 时,HSTS max-age 都会刷新,最大值为两年。 这意味着保护是永久性的,只要两次访问之间不超过两年。 若是你两年没有访问一个网站,它会被视为一个新网站。 与此同时,若是你提供 max-age 0 的 HSTS header,浏览器将在下一次链接尝试时将该站点视为一个新站点(这对测试很是有用)。

你可使用称为 HSTS 预加载列表(HSTS preload list)的附加保护方法。 Chromium 项目维护一个使用 HSTS 的网站列表,该列表经过浏览器发布。 若是你把你的网站添加到预加载列表中,浏览器会首先检查内部列表,这样你的网站就永远不会经过 HTTP 访问,甚至在第一次链接尝试时也不会。 这个方法不是 HSTS 标准的一部分,可是它被全部主流浏览器(Chrome、 Firefox、 Safari、 Opera、 IE11 和 Edge)使用。

目前惟一可用于绕过 HSTS 的已知方法是基于 NTP 的攻击。 若是客户端计算机容易受到 NTP 攻击( NTP-based attack),它可能会被欺骗,使 HSTS 策略到期,并使用 HTTP 访问站点一次。

如何将域名添加到 HSTS 预加载列表

要将域添加到 HSTS 预加载列表,该域的站点必须知足几个要求。 如下是添加域名所需的步骤:

  1. 确保你的网站拥有有效的证书和最新的密码
  2. 若是你的网站能够经过 HTTP 访问,请将全部请求重定向到 HTTPS
  3. 确保以上第 1 点和第 2 点适用于你的全部域名和子域名(根据您的 DNS 记录)
  4. 经过 HTTPS 服务返回 Strict-Transport-Security header ,带上 base domain 和 max-age ,max-age 至少为 31536000 (1 年),另外还有 includeSubDomains 指令和 preload 指令。 能够参考上面的 HSTS header。
  5. 访问 hstspreload.org ,并使用表格提交你的域名。若是符合条件,您的域名将被加入队列。

为了提升安全性,浏览器不能访问或下载 预加载列表(preload list)。 它做为硬编码资源(hard-coded resource)和新的浏览器版本一块儿分发。 这意味着结果出如今列表中须要至关长的时间,而域从列表中删除也须要至关长的时间。 若是你但愿将你的站点添加到列表中,则必须确保您可以在较长时间内保持对全部资源的彻底 HTTPS 访问。 若是不这样作,你的网站可能会彻底没法访问。