HTTPS 站点为何要使用 HSTS(严格传输安全)功能

2019-02-1717:59:32WEB安全防护Comments3,111 views字数 560阅读模式

HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用HTTPS 来与之通讯,而不是使用 HTTP。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/9624.html

HTTPS 站点为何要使用 HSTS(严格传输安全)功能文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/9624.html

HSTS 不仅会告知浏览器自动请求 HTTPS 页面(即使用户在浏览器地址栏中输入的是 http),还会告知搜索引擎及搜索结果中提供安全网址,从而最大限度地降低了向用户提供不安全内容的风险。要支持 HSTS,请使用支持 HSTS 的网络服务器并启用该功能。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/9624.html

虽然 HSTS 更安全,但它会增加回滚策略的复杂性。我们建议您按照以下方式启用 HSTS:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/9624.html

首先,滚动未启用 HSTS 的 HTTPS 页面。
开始发送 max-age 较短的 HSTS 标头。通过用户和其他客户端监控您的流量,并监控相关内容的效果,如广告。
逐步增加 HSTS 的 max-age。
如果 HSTS 不会对您的用户和搜索引擎产生负面影响,您便可请求系统将您的网站添加到被大多数主要浏览器使用的 HSTS 预加载列表中(如果您愿意的话)。
关于 HTTPS 网站如何支持 HSTS 可以查看《HSTS 安全协议配置启用,从 HTTP 到 HTTPS 的安全高效转移》一文。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/9624.html

考虑使用 HSTS 预加载
如果您启用了 HSTS,则可选择支持 HSTS 预加载,以进一步提高安全性并改善性能。要启用预加载,您必须访问 hstspreload.org 并按照其中所述的提交要求对您的网站执行相应操作进行配置。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/9624.html

转自:泪雪博客文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/9624.html

  • 本站内容整理自互联网,仅提供信息存储空间服务,以方便学习之用。如对文章、图片、字体等版权有疑问,请在下方留言,管理员看到后,将第一时间进行处理。
  • 转载请务必保留本文链接:https://www.cainiaoxueyuan.com/anquan/9624.html

Comment

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

确定