网络——HSTS简单探究

HSTS

解释

HSTS：HTTP Strict Transport Security (HTPP严格传输安全)是一种互联网安全策略机制，目的是让浏览器强制使用HTTPS与网站进行通信。用来减少会话劫持的风险。

作用

抵御SSL剥离攻击。防止攻击者阻止用户进入HTTPS页面，窃取信息。

不足

当用户首次访问某网站是不受HSTS保护的。因为这个时候浏览器还没有收到HSTS，所以仍旧有可能通过HTTP明文来访问。

解决办法

这种不足目前有两种解决办法。

一是现代浏览器内置的预加载HSTS，也就是在浏览器内置一个HSTS的列表。当用户发起HTTP请求时，如果域名在预加载HSTS列表内，那么浏览器就会自动重定向到HTTPS。目前chrome，firefox，Safari这些主流浏览器都支持了。

二是将HSTS信息加入到域名系统记录中，但是这也需要保证DNS的安全性。由于建设复杂度高，目前这个方案还没有大规模部署。