上一篇
HTTP严格传输安全协议能干啥
HTTP严格传输安全协议(HSTS)可强制客户端通过HTTPS访问网站,防止明文劫持和SSL降级攻击,避免Cookie/Token窃取,增强数据加密传输安全性,降低中间人攻击风险
HTTP严格传输安全协议(HSTS)的作用与原理
基本概念
HSTS(HTTP Strict Transport Security)是一种网络安全策略,通过服务器声明告知浏览器强制使用HTTPS协议访问网站,防止协议降级攻击和中间人劫持。
核心功能
| 功能 | 说明 |
|---|---|
| 强制HTTPS访问 | 浏览器仅允许通过HTTPS连接服务器,拒绝HTTP请求。 |
| 防止SSL剥离攻击 | 拦截反面将HTTPS流量降级为HTTP的行为,保护数据传输安全。 |
| 缓存机制提升性能 | 浏览器会长期缓存HSTS策略,减少重复验证的开销。 |
| 抵御中间人攻击 | 即使用户点击了反面链接,浏览器仍强制使用HTTPS,避免流量被改动。 |
工作原理
服务器声明策略
服务器通过HTTP响应头Strict-Transport-Security设置HSTS策略,Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadmax-age:策略有效期(单位:秒),如31536000秒=1年。includeSubDomains:是否应用于所有子域名。preload:是否提交到HSTS预加载列表(浏览器内置信任列表)。
浏览器强制执行
浏览器收到HSTS头后,会在指定时间内仅允许通过HTTPS访问该域名,即使用户手动输入http://也会被自动重定向到HTTPS。
配置示例
| 服务器类型 | 配置方式 |
|---|---|
| Apache | 在.htaccess或配置文件中添加:Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" |
| Nginx | 在server块中添加:add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always; |
| IIS | 通过URL重写规则或web.config文件设置HSTS头。 |
注意事项
- 不可逆性
一旦浏览器缓存了HSTS策略,在max-age有效期内无法通过HTTP访问,需谨慎配置。 - 证书依赖
必须部署有效的SSL/TLS证书,否则会导致网站无法访问。 - 预加载列表
提交到HSTS预加载列表后,浏览器会默认信任,但审核严格(需满足128天以上HSTS策略且覆盖所有子域名)。
与其他协议的对比
| 特性 | HTTPS | HSTS |
|---|---|---|
| 协议强制 | 依赖用户输入https:// | 浏览器强制使用HTTPS,禁止HTTP访问 |
| 安全性 | 防窃听,但可被降级为HTTP | 防协议降级攻击,安全性更高 |
| 配置复杂度 | 仅需SSL证书 | 需额外配置HSTS头及预加载(可选) |
相关问题与解答
问题1:HSTS策略生效后,用户是否还能通过HTTP访问网站?
解答:
不能,一旦浏览器缓存了HSTS策略,在max-age有效期内,所有HTTP请求会被自动重定向到HTTPS,或直接拒绝连接,若未配置HTTPS,网站将无法访问。
问题2:如何撤销已提交到HSTS预加载列表的策略?
解答:
HSTS预加载列表的提交是不可逆的,策略生效后至少需要18个月才能从列表中移除,在此期间,建议临时调整max-age为较短时间(如1天),并尽快修复HTTPS问题
