在網(wǎng)絡(luò)安全領(lǐng)域，SSL、HTTPS是保障網(wǎng)絡(luò)通信安全的常見(jiàn)網(wǎng)絡(luò)安全協(xié)議，而HTTP嚴(yán)格傳輸安全-HSTS，是一種網(wǎng)絡(luò)安全策略機(jī)制，可強(qiáng)制瀏覽器使用HTTPS與網(wǎng)站進(jìn)行通信，對(duì)保障網(wǎng)絡(luò)通信安全發(fā)揮著非常關(guān)鍵的作用。接下來(lái)我們將深入探討什么是HSTS？HSTS主要作用是什么？HSTS怎么實(shí)現(xiàn)？

什么是HSTS？

HSTS，英文全稱(chēng)HTTP Strict Transport Security，譯作HTTP嚴(yán)格傳輸安全，是一種由國(guó)際互聯(lián)網(wǎng)工程任務(wù)組(The Internet Engineering Task Force，簡(jiǎn)稱(chēng) IETF)于2012年11月發(fā)布的網(wǎng)絡(luò)安全策略機(jī)制。網(wǎng)站執(zhí)行此策略，可強(qiáng)制瀏覽器使用HTTPS與網(wǎng)站進(jìn)行通信，保護(hù)網(wǎng)站免受協(xié)議降級(jí)攻擊和cookie會(huì)話(huà)劫持攻擊，保障網(wǎng)絡(luò)通信安全。

HSTS主要作用是什么？

1、強(qiáng)制瀏覽器使用HTTPS與網(wǎng)站通信

HSTS最主要的作用就是強(qiáng)制瀏覽器使用HTTPS與網(wǎng)站通信，這使得瀏覽器始終通過(guò)HTTPS與網(wǎng)站建立連接，即使在點(diǎn)擊http://鏈接或在地址欄中輸入域名而未指定協(xié)議時(shí)也是如此。

2、抵御SSL剝離攻擊

SSL剝離攻擊是中間人攻擊的一種，攻擊者可通過(guò)修改HTTP響應(yīng)，刪除或更改重定向指令，阻止瀏覽器與服務(wù)器創(chuàng)建HTTPS連接，使得瀏覽器保持在不安全的HTTP連接上。鑒于很多網(wǎng)站會(huì)通過(guò)HTTP重定向到HTTPS，這一攻擊經(jīng)常出現(xiàn)。通過(guò)實(shí)施HSTS，即使鏈接被換成了HTTP，瀏覽器仍會(huì)強(qiáng)制使用HTTPS，可有效抵御SSL剝離攻擊。

3、提高網(wǎng)站安全性

HSTS能極大地提高網(wǎng)站安全性。它可以有效防止中間人攻擊和cookie會(huì)話(huà)劫持攻擊。通過(guò)設(shè)置HSTS強(qiáng)制瀏覽器使用HTTPS協(xié)議，數(shù)據(jù)在傳輸過(guò)程中會(huì)被加密，防止被攻擊者劫持。

4、提升用戶(hù)體驗(yàn)

實(shí)施HSTS，網(wǎng)站實(shí)現(xiàn)自動(dòng)將HTTP請(qǐng)求重定向到HTTPS，無(wú)需用戶(hù)手動(dòng)輸入HTTPS地址。這種方式加快了網(wǎng)站的加載速度，減少了用戶(hù)輸入錯(cuò)誤的安全風(fēng)險(xiǎn)，提升了用戶(hù)的訪問(wèn)效率，更有利于用戶(hù)體驗(yàn)。

HSTS實(shí)施指南

1、網(wǎng)站實(shí)現(xiàn)HTTPS訪問(wèn)

實(shí)施HSTS策略的前提條件是網(wǎng)站必須實(shí)現(xiàn)HTTPS訪問(wèn)。對(duì)此，您需要為網(wǎng)站向受信任的證書(shū)頒發(fā)機(jī)構(gòu)CA申請(qǐng)SSL證書(shū)并部署，并確保網(wǎng)站所有的內(nèi)外部鏈接都實(shí)現(xiàn)HTTPS訪問(wèn)，腳本、圖像等等資源都通過(guò)HTTPS加載。

2、在服務(wù)器添加添加HSTS標(biāo)頭

啟用HSTS很簡(jiǎn)單，只需將一個(gè)簡(jiǎn)單的標(biāo)頭添加到服務(wù)器發(fā)送的所有響應(yīng)中，標(biāo)頭參考：

Strict-Transport-Security: max-age=300; includeSubDomains; preload

在Nginx中，可以通過(guò)在服務(wù)器塊中加入add_header行來(lái)設(shè)置標(biāo)頭：

add_header Strict-Transport-Security 'max-age=300; includeSubDomains; preload; always;'

在Apache中，使用 “Header always set ”行添加標(biāo)頭：

Header always set Strict-Transport-Security "max-age=300; includeSubDomains; preload"

在IIS中，通過(guò) web.config 文件添加標(biāo)頭：

<system.webServer>
  <httpProtocol>
    <customHeaders>
      <add name="Strict-Transport-Security" value="max-age=300; includeSubDomains; preload"/>
    </customHeaders>
  </httpProtocol>
</system.webServer>

3、測(cè)試 HSTS是否正常工作

可使用SSL Labs、Security Headers等在線工具檢測(cè)HSTS 標(biāo)頭是否存在且配置正確。

• SSL Labs工具地址：https://www.ssllabs.com/ssltest/index.html
• Security Headers工具地址：https://securityheaders.com/

總而言之，作為網(wǎng)絡(luò)安全策略機(jī)制，HTTP嚴(yán)格傳輸安全HSTS可強(qiáng)制瀏覽器使用HTTPS與網(wǎng)站創(chuàng)建連接，企業(yè)可通過(guò)實(shí)施HSTS，以有效抵御SSL剝離攻擊，提高網(wǎng)站安全性。

作為數(shù)字證書(shū)領(lǐng)先者，銳成信息深耕數(shù)字證書(shū)領(lǐng)域十余年，可提供自有品牌銳安信sslTrus，以及Sectigo、Digicert、Geotrust、Globalsign等全球可信的SSL證書(shū)，助力網(wǎng)站實(shí)現(xiàn)HTTPS加密。如您有更多疑問(wèn)或需求，可聯(lián)系我們獲得支持。