HTTP 嚴格傳輸安全（HSTS）是(shì)一(yī)種安全功能(né"ε♦ ng)，web 服務器(qì)通(tōng)過它來(lái)告訴浏覽器(qì)僅用(yòng)♣÷←" HTTPS 來(lái)與之通(tōng)訊，而不(bù)是(shì)使用(yòng) HTTP§&↓。HSTS 是(shì)網站(zhàn)從(cóng) HTTP 到(dào) H∑↓γ<TTPS 中網站(zhàn)性能(néng)及安全優∞φ£化(huà)非常重要(yào)的(de)一(yī)個(gè)步驟，能(néng)夠解決和(hé)兼₹‍$<容 HTTPS 中的(de)一(yī)些(xiē)不(bù)足之處。HSTS 在全∑≈站(zhàn) HTTPS 下(xià)有(yǒu)一(yī)個(gè)較大(dεσ§à)的(de)正向作(zuò)用(yòng)，推薦₽€δ♦使用(yòng)。

一(yī)、HSTS 是(shì)什(shéφ "φn)麽？

國(guó)際互聯網工(gōng)程組織 IETE 正在推行(xíng)一(yī)種新的×¥(de) Web安全協議(yì)HTTP Strict Transport•' Security（HSTS）。采用(yòng) HSTS♥α'× 協議(yì)的(de)網站(zhàn)将保證浏 π覽器(qì)始終連接到(dào)該網站(zhàn)的(de) HTTPS 加密版本，不(σ ¶bù)需要(yào)用(yòng)戶手動在 URL £ 地(dì)址欄中輸入加密地(dì)址。該協議(yì)将幫助網站(zhàn)采用(±®♥yòng)全局加密，用(yòng)戶看(kàn)到(dào)的(de)就(jiù)是(shìβ$)該網站(zhàn)的(de)安全版本。

HSTS 的(de)作(zuò)用(yòng)是(shìπ♣)強制(zhì)客戶端（如(rú)浏覽器(qì↔£")）使用(yòng) HTTPS 與服務器(qì)創建連接。服務器(qì)開(kāi)啓 HS☆σTS 的(de)方法是(shì)，當客戶端通(tōng)過 HTTPS 發出  >請(qǐng)求時(shí)，在服務器(qì)返回的(de)超文(wén)本 ‍傳輸協議(yì)響應頭中包含 Strict-Tran≠∑✘↓sport-Security 字段。非加密傳輸時(shí)設置的(de) HSTS 字段無效。

HTTPS 最典型的(de)用(yòng)戶訪問(wèn)過程

通(tōng)常我們訪問(wèn)一(yī)個(gè)網站(zhàn)時(shí)，一(yΩφ★←ī)般在浏覽器(qì)中隻輸入網站(zhα∞≈àn)地(dì)址，而不(bù)輸入協議(yì)名。比如(rú)訪問(wèn)合肥網站(z×♠hàn)建設公司夢揚科(kē)技(jì)網站(zhàn)，如(rú)果直接輸入網址 π↕γ↓https://e926.com 或 e926.com 時(shí)，這(zhè)就(jiù)給>≠∞ε了(le)中間(jiān)人(rén)攻 >∏擊的(de)一(yī)個(gè)機(jī)會απ ∏(huì)，重定向會(huì)可(kě)能(néng)會(≤₩huì)被破壞，從(cóng)而定向到(dào)一(yφβΩ'ī)個(gè)惡意站(zhàn)點而不(bù)是(shì)應該訪問(wèn)的(de)加密頁面。¶βHTTP 嚴格傳輸安全（HSTS）功能(néng)使 Web 服務器(qì)告Ω✘←知(zhī)浏覽器(qì)絕不(bù)使用(yòng) HTTP 訪問(wèn)，在浏覽器(qì)¶λ端自(zì)動将所有(yǒu)到(dào)該站(zhàn)點的(deε₽¥) HTTP 訪問(wèn)替換為(wèi) HTTPS 訪問(wèn)。

即使你(nǐ)打開(kāi)網站(zhàn)看(kàn)到(dào)的(de)是✘≥(shì)全站(zhàn) HTTPS 狀<δ∑ε态 ，你(nǐ)是(shì)因為(wèi)我們在服務器δ↕(qì)上(shàng)做(zuò)過301/302 跳(tiào)轉到(dào™') https://www.e926.com這(zhè)個(gè)地  ₽•(dì)址的(de)， HTTPS 網站(zhàn)的(♠≠de)做(zuò)法是(shì)對(duì)用(yòng)戶>§♦的(de) HTTP 訪問(wèn)做(zu©✔→πò) 302 跳(tiào)轉到(dào) HTTPS，£ε并重新建連。

那(nà)麽問(wèn)題也(yě)就(jiù)來(lái)了(₩¥le)，在這(zhè)個(gè)跳(tiào)轉的(de)過程中就(jiù)有(y₩•ǒu)兩個(gè)不(bù)足之處：

• 整個(gè)通(tōng)信過程中的(de)前兩個(‍↑↓γgè) RT 是(shì)沒有(yǒu)意義的(de)；
• 使用(yòng)了(le)不(bù)安全的(de) HTTP 通(tōng✘β)信，萬一(yī)你(nǐ)是(shì)在提交敏感數(shù)據呢(ne)。 α&₩

HSTS 的(de)出現(xiàn)就(jiù)是(shì)解決這(zhè)些(xiē)問(wè€αφn)題的(de)。HSTS 的(de)作(zuò)用(yòng)除了(le)節省 ≠&β HTTPS 通(tōng)信 RT 和(hé)強制(zhì)使用(yòng) ε​'HTTPS ，還(hái)包括：

• 阻止基于SSLStrip 的(de)中間(jiān)人(rén)攻擊₩±× ；
• 萬一(yī)證書(shū)有(yǒu)錯(σ÷>cuò)誤，則顯示錯(cuò)誤，用(yòng)戶不(bù)能(néng)回避警告₩₩♠β。

HSTS 的(de)工(gōng)作(zuε∑φò)機(jī)制(zhì)可(kě)描述如(rú)下(xià)：服務器(qì)端配置支持♠∞" HSTS 後，會(huì)在給浏覽器(q↑↓φì)返回的(de) HTTP 首部中攜帶→♣≤  HSTS 字段。浏覽器(qì)獲取到(dào)該信息後，會(hu•✔£ì)将所有(yǒu) HTTP 訪問(wèn)請(qǐng)求在內πλ(nèi)部做(zuò)307跳(tiào)轉到(dà"↑♦o) HTTPS，而無需任何網絡過程，從(cóng)而提高(g§∞↑σāo)了(le)兼容性，這(zhè)個(gè)機(jī)>←$制(zhì)對(duì)于不(bù)支持 HTTPS 的(de)搜索引擎來(lái)說(s✔✔₽huō)也(yě)是(shì)非常友(yǒu)好(hǎo)的(de)做(zuò)法。

目前大(dà)部分(fēn)浏覽器(qì)對(duì) HSTS 的(de)支持已經相(xiàn₩↑g)當完美(měi)，具體(tǐ)各浏覽器(qì)和(hé)版本的(de)支持情況可(kě)α÷£以在http://caniuse.com/#seaσ₩÷♦rch=HSTS上(shàng)查看(kàn)。 但(dàn)是(shì) HSTφ"S 是(shì)有(yǒu)缺陷的(de)，第一(yī)次♠®∑∏訪問(wèn)網站(zhàn)的(de)客戶端，HSTS 并不(bù)工>₽☆(gōng)作(zuò)。 要(yào)解決這(zhè)個(g↓φ è)問(wèn)題，就(jiù)要(yào)了(le)解我們¶×©下(xià)面要(yào)講解的(de) HSTS p§← reload list。

HSTS preload list 是(shì)什(shén)麽？

HSTS preload list 是(shì) Chrome 浏覽器(qì)中的(de×→∑γ) HSTS 預載入列表，在該列表中的(de)網站(zhàn)，使用(yòng÷≥$) Chrome 浏覽器(qì)訪問(w☆€èn)時(shí)，會(huì)自(zì)動轉換成 HTTPS。Firefox、Safari、££Edge 浏覽器(qì)也(yě)會(huì)采用(yòng)這(zhè)個(gè)δ‍★列表。

加入 HSTS preload list 所需條件(jiàn" λ≈)：

• 有(yǒu)效的(de)證書(shū)；
• 将所有(yǒu) HTTP 流量重定向到(dào) HTTPS；
• 确保所有(yǒu)子(zǐ)域名啓用(yòng) HTTPS，特别是(shì♥$) www 子(zǐ)域名。

同時(shí)輸出的(de) HSTS 響應頭部需要(yào)滿足以下(xià)¥εφ 條件(jiàn)：

• max-age 至少(shǎo)需要(yào) 18 ♠∞周，10886400 秒(miǎo)
• 必須指定 includeSubdomains 參數× ©×(shù)
• 必須支持 preload 參數(shù)

一(yī)個(gè)典型滿足 HSTS prel←‍↔<oad list 的(de)響應頭部為(wèi)：Strict-Transport-Securi± &ty: max-age=63072000; includeSubDomains; preload≥↓δ‍

從(cóng)申請(qǐng)到(dào)審核通(tōng)過，時(shí)間(jiān)在幾天↕♠©到(dào)幾周不(bù)等。值得(de)一(yī)提的(de)是(shì)，從(cón↔φg)審核通(tōng)過到(dào)正式加入到(dào)♠≠← Chrome 的(de) stable release 版本中還(hái)需要(yào)λ↓♣一(yī)段時(shí)間(jiān)，因為(wèi)要(yà®πo)經過 canary、dev、beta 以及 sta✘★☆ble progression。

HSTS 的(de)優勢及必要(yào)性

簡單說(shuō)就(jiù)是(shì)強制(zhì)客戶端使用(yòng) ↕♣HTTPS 訪問(wèn)頁面。有(yǒu)φ∏效避免了(le)中間(jiān)人(rén)÷→σδ對(duì) 80 端口的(de)劫持。但(dàn)是(shì)這♣↑¶≤(zhè)裡(lǐ)存在一(yī)個(gè)↕£ ✔問(wèn)題：如(rú)果用(yòng)戶在劫持狀态，并且沒有(yǒu)訪問₽ ★(wèn)過源服務器(qì)，那(nà)麽源服務器(ε∑qì)是(shì)沒有(yǒu)辦法給客戶端種下(xià)≤≈ Strict-Transport-Security 響應頭的(de)（都(dōu)被中間 ∑&(jiān)人(rén)擋下(xià)來(lái)了(le)）。

啓用(yòng) HSTS 不(bù)僅僅可(kě)以有(yǒu"λ)效防範中間(jiān)人(rén)攻擊，同時(shí)也(yě)為(wèi)浏覽器(qì​δ©♥)節省來(lái)一(yī)次 302/301 的(de)跳(tiào)轉請(qǐng)€δ 求，收益還(hái)是(shì)很(hěn)高(gāo)的(¶✘>de)。我們的(de)很(hěn)多(duō)頁面，難"•§以避免地(dì)出現(xiàn) http 的(de)鏈接，比如(§$☆rú) help 中的(de)鏈接、運營填寫的(de)鏈接等，這(zhè)些(xiē)鏈接的↔±(de)請(qǐng)求都(dōu)會(huì)經曆一(yī)次 302，對(duì∏↓∏)于用(yòng)戶也(yě)是(shì)一(yī)樣，×♥π收藏夾中的(de)鏈接保存的(de)可(kě)能(néng)也(yě)是(shì) ☆ε‍≠http 的(de)。

307 狀态碼

在 GET、HEAD 這(zhè)些(xiē)幂等的(de)請(qǐng)求方↕★ ✔式上(shàng)，302、303、307 沒啥區(qū)别，而對(duì)于≠™± POST 就(jiù)不(bù)同了(le)，大≠σ(dà)部分(fēn)浏覽器(qì) 都(dōu)會(huì) 302 會(huì)将 PO↑εγ∏ST 請(qǐng)求轉為(wèi) GET，而 303 是(shì)規範強π∑ 制(zhì)規定将 POST 轉為(wèi) GET 請(qǐn≈↔g)求，請(qǐng)求地(dì)址為(wèi) header 頭中的(de) Locatβφ↓αion，307 則不(bù)一(yī)樣，規範要(yào)求浏覽器(qì)繼續向 L£β&•ocation 的(de)地(dì)址 POST 內(nèi)容。

而在 HSTS 中，307 可(kě)以被緩存，緩存時(shí)間(πβjiān)根據 max-age 而定，一(yī)般建議(<λ↓βyì)緩存 1 年(nián)甚至更長(cháng)。

HSTS 存在的(de)坑

1. 純 IP 的(de)請(qǐng)求，✘¥♥HSTS 沒法處理(lǐ)，比如(rú) http://2.2.2✘σ.2 ， 即便響應頭中設置了(le) STS，浏覽器(÷ φqì)也(yě)不(bù)會(huì)理(lǐ™‍)會(huì)（未測試）
2. HSTS 隻能(néng)在 80 和(hé) 443 端口之間(jiān)切換σ✘ε，如(rú)果服務是(shì) 8080 端口，即便設置了(le) STS，也(y춀÷)無效（未測試）
3. 如(rú)果浏覽器(qì)證書(shū)錯(cu​₩ò)誤，一(yī)般情況會(huì)提醒存在安全風(fēng)險，然是(sΩ≤hì)依然給一(yī)個(gè)鏈接進入目标頁，而 HSTS ↔‍則沒有(yǒu)目标頁入口，所以一(yī)旦證書(shū)配置錯(cuò)誤，就(jiù)是(s₽¥hì)很(hěn)大(dà)的(de)故障了(le)
4. 如(rú)果服務器(qì)的(de) HTTPS 沒有(yǒu✘↓£↓)配置好(hǎo)就(jiù)開(kāi)啓了(le) STS 的(de)響應頭， ↕并且還(hái)設置了(le)很(hěn)長(±‌&cháng)的(de)過期時(shí)間(jiān)，那(nà)>≠ Ω麽在你(nǐ)服務器(qì) HTTPS 配置好(hǎ‍→✘λo)之前，用(yòng)戶都(dōu)是(Ω↓shì)沒辦法連接到(dào)你(nǐ)的(de)服務器(q"β×ì)的(de)，除非 max-age 過期了(le)。
5. HSTS 能(néng)讓你(nǐ)的(de)網站÷≥¥¥(zhàn)在 ssllab 上(shàng)到(dào) A+ ♠♠♥↔

寫在最後：HSTS 在全站(zhàn)♠§ HTTPS 下(xià)有(yǒu)一(yī)個(gè)較大(dà)的(d✔←e)正向作(zuò)用(yòng)，推薦使✔↓☆用(yòng)。