HSTS是什么?HSTS和HTTP是一回事吗
2022年6月28日
HSTS是什么?HSTS是国际互联网工程组织IETF正在推行一种新的Web安全协议,网站采用HSTS后,用户访问时无需手动在地址栏中输入HTTPS,浏览器会自动采用HTTPS访问网站地址,从而保证用户始终访问到网站的加密链接,保护数据传输安全。
HSTS和HTTP是一回事吗?当然不是。HSTS代表HTTP严格传输安全,它使浏览器能够通过HTTPS建立更安全的连接。HSTS的操作原理如下:
1)需要在服务器响应头中添加HSTS,只有在HTTPS访问返回时才生效。
2)之后设置Max-age参数,设置的时间建议是6个月,不要设置时间太长。
3)如果用户访问使用HTTP,客户端会自动进行内部跳转,并且能够看到307Redirect Internel的响应码。
4)网站服务器变成了HTTPS访问源服务器。
这里需要注意的是在实施HSTS之前,确保网站已经部署了SSL证书,并且将网站所有HTTP页面301重定向到HTTPS页面,这样才能在网站上实施HSTS设置。