HSTS 表示 “HTTP Strict Transport Security”,即”HTTP 严格传输安全”。它是一个安全策略,旨在增强 Web 应用程序的安全性,特别是防止 SSL/TLS 的中间人攻击和窃听。
当服务器启用 HSTS 时,它会通过在 HTTP 响应头中添加 Strict-Transport-Security 属性,告诉客户端(通常是 Web 浏览器)将来与该服务器通信时,强制使用 HTTPS 连接而不是 HTTP 连接。
HSTS 主要具有以下功能:
- 强制使用 HTTPS:一旦客户端第一次与启用了 HSTS 的服务器进行安全连接(HTTPS),服务器就会在响应头中添加 HSTS 属性,并指定一个持续时间。在这段时间内,客户端会强制使用 HTTPS 连接与该服务器通信,即使用户手动输入了 HTTP 地址或者在链接中使用了 HTTP 协议,浏览器也会自动将其重定向到 HTTPS。
- 防止中间人攻击:通过使用 HTTPS 连接,HSTS 可以有效地防止中间人攻击。即使攻击者尝试在客户端和服务器之间插入一个 HTTP 连接,由于 HSTS 强制使用 HTTPS,浏览器会自动将其转换为 HTTPS,确保数据在传输过程中加密和保密。
- 减少 Clickjacking 攻击:HSTS 还有助于减少 Clickjacking 攻击的风险,因为点击劫持攻击通常会尝试通过 iframe 技术欺骗用户,但是由于 HSTS 的强制使用 HTTPS,浏览器会拒绝加载不安全的 HTTP 资源。
值得注意的是,启用 HSTS 需要服务器端的支持和正确配置。一旦启用,HSTS 将在客户端(浏览器)缓存一段时间,确保持续使用 HTTPS 连接。由于 HSTS 会强制使用 HTTPS,如果服务器的 SSL/TLS 配置存在问题或证书无效,可能会导致访问问题,因此在启用 HSTS 之前,请确保 SSL/TLS 配置正确且有效。