HTTPS是以安全为目标的HTTP通道,HSTS你知道是什么吗?

发布时间:2019-12-29 21:02:25 浏览量:399 标签: HSTS

HSTS全称是HTTP Strict Transport Security,是一种网络安全的策略,能够防止协议降级、流量劫持等攻击,在阿里云SSL设置里面可以看到HSTS。

25b551ba844731f061749a74d3691975.jpg

下面继续说一下,Web服务器通过该响应头声明后,Web浏览器或其他的客户端只能通过安全HTTPS连接与其进行交互,服务器通过HTTPS的响应头实现HSTS策略,浏览器会忽略通过HTTP响应头定义的HSTS策略,该响应头可以添加的值如下所示:

1、max-age=seconds

是否可选:必选;

描述:HSTS头作用的时间,最大值为31536000,即一年时间;

2、includeSubDomains

是否可选:可选

描述:指定该参数后,HSTS头将作用于网站所有的子域名;

3、preload

是否可选:可选

描述:指定该参数后,会将HSTS头的设置记录在一个由Google维护的预加载列表中,加载该列表的浏览器会将默认该域名启用HSTS,该值可能将会永久的阻止用户以HTTP的方式访问网站所有域名,因此要谨慎使用该域名。