Entry № 556
HTTP 严格传输安全(HSTS)
HTTP 严格传输安全(HSTS) 是什么?
HTTP 严格传输安全(HSTS)通过 HTTP 响应头声明的 Web 安全策略,指示浏览器在指定时间内只能通过 HTTPS 访问某个域名。
HSTS 在 RFC 6797 中定义,通过 Strict-Transport-Security 响应头进行声明。兼容的浏览器收到该头后会记住该策略,并将之后对该主机(可选地包括子域名)的所有请求自动升级为 HTTPS;若 TLS 握手或证书验证失败,则拒绝连接。该机制可有效抵御 SSL 剥离和初次请求中的 Cookie 注入。最佳实践是同时设置较长的 max-age、includeSubDomains 与 preload 指令,并将域名提交到浏览器的 HSTS 预加载列表,以保护用户首次访问。
● 示例
- 01
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- 02
银行将其顶级域名提交到 Chromium 的 HSTS 预加载列表。
● 常见问题
HTTP 严格传输安全(HSTS) 是什么?
通过 HTTP 响应头声明的 Web 安全策略,指示浏览器在指定时间内只能通过 HTTPS 访问某个域名。 它属于网络安全的 网络安全 分类。
HTTP 严格传输安全(HSTS) 是什么意思?
通过 HTTP 响应头声明的 Web 安全策略,指示浏览器在指定时间内只能通过 HTTPS 访问某个域名。
如何防御 HTTP 严格传输安全(HSTS)?
针对 HTTP 严格传输安全(HSTS) 的防御通常结合技术控制与运营实践,详见上方完整定义。
HTTP 严格传输安全(HSTS) 还有哪些其他名称?
常见的别称包括: Strict-Transport-Security, HSTS 头。