如何用HSTS实现http跳转https？ http和https有什么不一样？

HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS

现在大多少浏览器都要使用https加密，对于这种情况，很多站点都使用了http强制跳转https的方法，这种方法有效的解决了http网站在部署了SSL证书后，输入域名直接跳转到https的问题，因为用户首次访问站点的时候其实也是用的是http请求，之后被重定向到了https，如何解决这个问题呢？这里我们要借助一个新的安全协议：HSTS，教你如何用HSTS实现http跳转https。

什么是HSTS

HSTS（HTTP Strict Transport Security）国际互联网工程组织IETE正在推行一种新的Web安全协议，作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接。

主要目的是为了解决HTTPS网站首次请求时使用的是未加密的HTTP协议，也就说用户一般访问我们的网站都是直接在浏览器输入域名，比如morong.me，然后我们的服务器检测到是HTTP请求，就301跳转到HTTPS页面。那么前半程采用的就是未加密的HTTP请求，同样存在被劫持的可能，那么HTTPS说好的安全性也就大打折扣了！

开启HSTS

开启HSTS很简单，只要在我们网站的响应头里面新增HSTS即可，下面简单说下

1、Nginx服务器

找到nginx.conf配置文件，在网站的server配置代码里面加入如下代码：

server {

listen xx.xx.xx.xx:443 ssl spdy;

server_name www.gworg.com;

add_header Strict-Transport-Security "max-age=31536000;includeSubdomains"#加入此行代码

…… }

2、Apache服务器

LoadModule headers_module modules/mod_headers.so

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

3、Lighttpd

server.modules += ( "mod_setenv" )

$HTTP["scheme"] == "https" { setenv.add-response-header = ( "Strict-Transport-Security" =>

"max-age=63072000; includeSubdomains; preload") }

 

4、通用方法

如果你用的虚拟主机，或者不会折腾WEB软件，那么可以采用更简单的通用方法。原理很简单，通过代码来新增响应头即可，这里只分享一下php的做法，其他语言自行参考：

将如下代码插入到网站根目录的index.php即可：

header("Strict-Transport-Security: max-age=63072000; includeSubdomains; preload");

HSTS有利有弊，启用了的网站如果后期想http访问需要一段时间才可以恢复，另外目前不是所有的浏览器都支持HSTS，所以对于想使用这种方法强制跳转https的用户可以综合考虑下。

当网站部署SSL证书实现HTTPS协议之后，会变得更安全。

所以目前已经越来越多的网站实现HTTPS协议，这样增强互联网用户和网站之间的安全连接协议被视为减少用户风险的必要措施，有效地避免了遭受窃听、中间人攻击或数据篡改等问题。

HTTPS比以往任何时候都更便利、更便宜，它带来了性能提升和强大的新功能，这些都是HTTP协议所没有的。

http和https有什么不一样？

一、HTTPS协议需要到证书颁发机构CA申请证书，HTTP不用申请证书；

二、HTTP是超文本传输协议，属于应用层信息传输，HTTPS 则是具有SSL加密传安全性传输协议，对数据的传输进行加密，相当于HTTP的升级版；

三、HTTP和HTTPS使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

四、HTTP的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比HTTP协议安全。