HSTS 的作用是强制客户使用者端(如查看浏览器)使用 HTTPS 与we服务器创建连接。we服务器开启 HSTS 的方式方法是,当客户使用者端通过 HTTPS 发出请求时,在we服务器返回的超文本信息传输协议响应头中包含 Strict-Transport-Security 字段。非加密传输时配置设置的 HSTS 字段无效。
HTTPS 最典型的用户使用者浏览访问过程
通常我们浏览访问一个网站站点时,一般在查看浏览器中只输入网站站点地址,而不输入协议名。例如浏览访问的,如果直接输入网址 或 zhangzifan.com 时,这就给了中间人攻击的一个机会,重定向会可能会被破坏,从而定向到一个恶意网站站点而不是应该浏览访问的加密网站页面。HTTP 严格传输安全(HSTS)功能使 Web we服务器告知查看浏览器绝不使用 HTTP 浏览访问,在查看浏览器端自动将所有到该网站站点的 HTTP 浏览访问替换为 HTTPS 浏览访问。
即使你打开网站站点看到的是全站 HTTPS 状态 ,你是因为我们在we服务器上做过301/302 跳转到 这个地址的, HTTPS 网站站点的做法是对用户使用者的 HTTP 浏览访问做 302 跳转到 HTTPS,并重新建连。(浏览访问过程如下图)
那么问题也就来了,在这个跳转的过程中就有两个不足之处:
HSTS 的出现就是解决这些问题的。HSTS 的作用除了节省 HTTPS 通信 RT 和强制使用 HTTPS ,还包括包含:
HSTS 的工作机制可描述如下:we服务器端配置支持 HSTS 后,会在给查看浏览器返回的 HTTP 首部中携带 HSTS 字段。查看浏览器获得到该信息后,会将所有 HTTP 浏览访问请求在内部做307跳转到 HTTPS,而无需任何互联网网络过程,从而提升提高了兼容性,这个机制对于不支持 HTTPS 的百度360Sogou来说也是非常友好的做法。
目前大部分查看浏览器对 HSTS 的支持已经相当完美,具体各查看浏览器和版本的支持情况可以在/#search=HSTS上查看。 但是 HSTS 是有缺陷的,第一次浏览访问网站的客户使用者端,HSTS 并不工作。 要解决这个问题,就要了解我们下面要讲解的 HSTS preload list。
HSTS preload list 是什么?
HSTS preload list 是 Chrome 查看浏览器中的 HSTS 预载入列表,在该列表中的网站站点,使用 Chrome 查看浏览器浏览访问时,会自动转换成 HTTPS。Firefox、Safari、Edge 查看浏览器也会采用这个列表。
加入 HSTS preload list 所需条件:
同时输出的 HSTS 响应头部需要满足以下条件:
一个典型满足 HSTS preload list 的响应头部为:Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
从申请到审核通过,时间在几天到几周不等。值得一提的是,从审核通过到正式加入到 Chrome 的 stable release 版本中还需要一段时间,因为要经过 canary、dev、beta 以及 stable progression。
HSTS 的优势及必要性
简单说就是强制客户使用者端使用 HTTPS 浏览访问网站页面。有效避免了中间人对 80 端口的劫持。但是这里存在一个问题:如果用户使用者在劫持状态,并且没有浏览访问过源we服务器,那么源we服务器是没有办法给客户使用者端种下 Strict-Transport-Security 响应头的(都被中间人挡下来了)。
启用 HSTS 不仅仅可以有效防范中间人攻击,同时也为查看浏览器节省来一次 302/301 的跳转请求,收益还是很高的。我们的很多网站页面,难以避免地出现 .cn/jianzhan),转发请注明版权,不带版权禁止转发,谢谢
版权说明:Copyright © 广州京杭网络科技有限公司 2005-2025 版权所有 粤ICP备16019765号
广州京杭网络科技有限公司 版权所有
免费热线:400-683-0016
扫二维码关注公众号
当前位置: