apache中通过HSTS实现http请求强制跳转到https

apache中通过HSTS实现http请求强制跳转到https

发表于 2017年8月9日 由 hengxia

1. HSTS:

        HSTS全称HTTP Strict Transport Security,是国际互联网工程组织IETE正在推行的一种新的Web安全协议。HSTS的作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接。
        服务器端配置支持HSTS后，会在浏览器返回的HTTP首部中携带HSTS字段。浏览器获取该信息后，会将所有HTTP访问请求在内部做307跳转到HTTPS。而无需任何网络过程。

2.HSTS preload list

        是Chrome浏览器中的HSTS预载入列表，在该列表中的网站，使用Chrome浏览器访问时，会自动转换成HTTPS。Firefox、Safari、Edge浏览器也会采用这个列表。

3.实现HSTS示例：

vim /etc/httpd/conf/httpd.conf  # 末尾新增下面三行
Header always set Strict-Transport-Security "max-age=15768000"
RewriteEngine on
RewriteRule ^(/.*)$ https://%{HTTP_HOST}$1 [redirect=301]

4. HSTS的不足：

        用户首次访问某网站是不受HSTS保护。这是因为首次访问时，浏览器还未收到HSTS,所以仍有可能通过明文HTTP来访问。

转载自https://www.hengxia.top/54.html