网络安全
HTTP 严格传输安全(HSTS)
别称: Strict-Transport-Security, HSTS 头
定义
通过 HTTP 响应头声明的 Web 安全策略,指示浏览器在指定时间内只能通过 HTTPS 访问某个域名。
HSTS 在 RFC 6797 中定义,通过 Strict-Transport-Security 响应头进行声明。兼容的浏览器收到该头后会记住该策略,并将之后对该主机(可选地包括子域名)的所有请求自动升级为 HTTPS;若 TLS 握手或证书验证失败,则拒绝连接。该机制可有效抵御 SSL 剥离和初次请求中的 Cookie 注入。最佳实践是同时设置较长的 max-age、includeSubDomains 与 preload 指令,并将域名提交到浏览器的 HSTS 预加载列表,以保护用户首次访问。
示例
- Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- 银行将其顶级域名提交到 Chromium 的 HSTS 预加载列表。
相关术语
HTTPS
HTTPS — definition coming soon.
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
SSL 剥离
一种中间人攻击,悄悄将受害者的 HTTPS 连接降级为明文 HTTP,使攻击者能够读取并篡改流量。
Secure Cookie Flag
Secure Cookie Flag — definition coming soon.
HTTP Security Headers
HTTP Security Headers — definition coming soon.
证书颁发机构(CA)
可信第三方实体,负责颁发并签名数字证书,将公钥与已核验的域名或机构身份绑定在一起。