HTTP 嚴格傳輸安全（HSTS）是一種安全功能，web 服務(wù)器通過(guò)它來(lái)告訴瀏覽器僅用 HTTPS 來(lái)與之通訊，而不是使用 HTTP。HSTS 是網(wǎng)站從 HTTP 到 HTTPS 中網(wǎng)站性能及安全優(yōu)化非常重要的一個(gè)步驟，能夠解決和兼容 HTTPS 中的一些不足之處。HSTS 在全站 HTTPS 下有一個(gè)較大的正向作用，推薦使用。

一、HSTS 是什么？

國際互聯(lián)網(wǎng)工程組織 IETE 正在推行一種新的 Web安全協(xié)議HTTP Strict Transport Security（HSTS）。采用 HSTS 協(xié)議的網(wǎng)站將保證瀏覽器始終連接到該網(wǎng)站的 HTTPS 加密版本，不需要用戶(hù)手動(dòng)在 URL 地址欄中輸入加密地址。該協(xié)議將幫助網(wǎng)站采用全局加密，用戶(hù)看到的就是該網(wǎng)站的安全版本。

HSTS 的作用是強制客戶(hù)端（如瀏覽器）使用 HTTPS 與服務(wù)器創(chuàng )建連接。服務(wù)器開(kāi)啟 HSTS 的方法是，當客戶(hù)端通過(guò) HTTPS 發(fā)出請求時(shí)，在服務(wù)器返回的超文本傳輸協(xié)議響應頭中包含 Strict-Transport-Security 字段。非加密傳輸時(shí)設置的 HSTS 字段無(wú)效。

HTTPS 最典型的用戶(hù)訪(fǎng)問(wèn)過(guò)程

通常我們訪(fǎng)問(wèn)一個(gè)網(wǎng)站時(shí)，一般在瀏覽器中只輸入網(wǎng)站地址，而不輸入協(xié)議名。比如訪(fǎng)問(wèn)合肥網(wǎng)站建設公司夢(mèng)揚科技網(wǎng)站，如果直接輸入網(wǎng)址 https://e926.com 或 e926.com 時(shí)，這就給了中間人攻擊的一個(gè)機會(huì )，重定向會(huì )可能會(huì )被破壞，從而定向到一個(gè)惡意站點(diǎn)而不是應該訪(fǎng)問(wèn)的加密頁(yè)面。HTTP 嚴格傳輸安全（HSTS）功能使 Web 服務(wù)器告知瀏覽器絕不使用 HTTP 訪(fǎng)問(wèn)，在瀏覽器端自動(dòng)將所有到該站點(diǎn)的 HTTP 訪(fǎng)問(wèn)替換為 HTTPS 訪(fǎng)問(wèn)。

即使你打開(kāi)網(wǎng)站看到的是全站 HTTPS 狀態(tài) ，你是因為我們在服務(wù)器上做過(guò)301/302 跳轉到 https://www.e926.com這個(gè)地址的， HTTPS 網(wǎng)站的做法是對用戶(hù)的 HTTP 訪(fǎng)問(wèn)做 302 跳轉到 HTTPS，并重新建連。

那么問(wèn)題也就來(lái)了，在這個(gè)跳轉的過(guò)程中就有兩個(gè)不足之處：

• 整個(gè)通信過(guò)程中的前兩個(gè) RT 是沒(méi)有意義的；
• 使用了不安全的 HTTP 通信，萬(wàn)一你是在提交敏感數據呢。

HSTS 的出現就是解決這些問(wèn)題的。HSTS 的作用除了節省 HTTPS 通信 RT 和強制使用 HTTPS ，還包括：

• 阻止基于SSLStrip 的中間人攻擊；
• 萬(wàn)一證書(shū)有錯誤，則顯示錯誤，用戶(hù)不能回避警告。

HSTS 的工作機制可描述如下：服務(wù)器端配置支持 HSTS 后，會(huì )在給瀏覽器返回的 HTTP 首部中攜帶 HSTS 字段。瀏覽器獲取到該信息后，會(huì )將所有 HTTP 訪(fǎng)問(wèn)請求在內部做307跳轉到 HTTPS，而無(wú)需任何網(wǎng)絡(luò )過(guò)程，從而提高了兼容性，這個(gè)機制對于不支持 HTTPS 的搜索引擎來(lái)說(shuō)也是非常友好的做法。

目前大部分瀏覽器對 HSTS 的支持已經(jīng)相當完美，具體各瀏覽器和版本的支持情況可以在http://caniuse.com/#search=HSTS上查看。 但是 HSTS 是有缺陷的，第一次訪(fǎng)問(wèn)網(wǎng)站的客戶(hù)端，HSTS 并不工作。 要解決這個(gè)問(wèn)題，就要了解我們下面要講解的 HSTS preload list。

HSTS preload list 是什么？

HSTS preload list 是 Chrome 瀏覽器中的 HSTS 預載入列表，在該列表中的網(wǎng)站，使用 Chrome 瀏覽器訪(fǎng)問(wèn)時(shí)，會(huì )自動(dòng)轉換成 HTTPS。Firefox、Safari、Edge 瀏覽器也會(huì )采用這個(gè)列表。

加入 HSTS preload list 所需條件：

• 有效的證書(shū)；
• 將所有 HTTP 流量重定向到 HTTPS；
• 確保所有子域名啟用 HTTPS，特別是 www 子域名。

同時(shí)輸出的 HSTS 響應頭部需要滿(mǎn)足以下條件：

• max-age 至少需要 18 周，10886400 秒
• 必須指定 includeSubdomains 參數
• 必須支持 preload 參數

一個(gè)典型滿(mǎn)足 HSTS preload list 的響應頭部為：Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

從申請到審核通過(guò)，時(shí)間在幾天到幾周不等。值得一提的是，從審核通過(guò)到正式加入到 Chrome 的 stable release 版本中還需要一段時(shí)間，因為要經(jīng)過(guò) canary、dev、beta 以及 stable progression。

HSTS 的優(yōu)勢及必要性

簡(jiǎn)單說(shuō)就是強制客戶(hù)端使用 HTTPS 訪(fǎng)問(wèn)頁(yè)面。有效避免了中間人對 80 端口的劫持。但是這里存在一個(gè)問(wèn)題：如果用戶(hù)在劫持狀態(tài)，并且沒(méi)有訪(fǎng)問(wèn)過(guò)源服務(wù)器，那么源服務(wù)器是沒(méi)有辦法給客戶(hù)端種下 Strict-Transport-Security 響應頭的（都被中間人擋下來(lái)了）。

啟用 HSTS 不僅僅可以有效防范中間人攻擊，同時(shí)也為瀏覽器節省來(lái)一次 302/301 的跳轉請求，收益還是很高的。我們的很多頁(yè)面，難以避免地出現 http 的鏈接，比如 help 中的鏈接、運營(yíng)填寫(xiě)的鏈接等，這些鏈接的請求都會(huì )經(jīng)歷一次 302，對于用戶(hù)也是一樣，收藏夾中的鏈接保存的可能也是 http 的。

307 狀態(tài)碼

在 GET、HEAD 這些冪等的請求方式上，302、303、307 沒(méi)啥區別，而對于 POST 就不同了，大部分瀏覽器 都會(huì ) 302 會(huì )將 POST 請求轉為 GET，而 303 是規范強制規定將 POST 轉為 GET 請求，請求地址為 header 頭中的 Location，307 則不一樣，規范要求瀏覽器繼續向 Location 的地址 POST 內容。

而在 HSTS 中，307 可以被緩存，緩存時(shí)間根據 max-age 而定，一般建議緩存 1 年甚至更長(cháng)。

HSTS 存在的坑

1. 純 IP 的請求，HSTS 沒(méi)法處理，比如 http://2.2.2.2 ， 即便響應頭中設置了 STS，瀏覽器也不會(huì )理會(huì )（未測試）
2. HSTS 只能在 80 和 443 端口之間切換，如果服務(wù)是 8080 端口，即便設置了 STS，也無(wú)效（未測試）
3. 如果瀏覽器證書(shū)錯誤，一般情況會(huì )提醒存在安全風(fēng)險，然是依然給一個(gè)鏈接進(jìn)入目標頁(yè)，而 HSTS 則沒(méi)有目標頁(yè)入口，所以一旦證書(shū)配置錯誤，就是很大的故障了
4. 如果服務(wù)器的 HTTPS 沒(méi)有配置好就開(kāi)啟了 STS 的響應頭，并且還設置了很長(cháng)的過(guò)期時(shí)間，那么在你服務(wù)器 HTTPS 配置好之前，用戶(hù)都是沒(méi)辦法連接到你的服務(wù)器的，除非 max-age 過(guò)期了。
5. HSTS 能讓你的網(wǎng)站在 ssllab 上到 A+

寫(xiě)在最后：HSTS 在全站 HTTPS 下有一個(gè)較大的正向作用，推薦使用。