一、什么是HSTS
HTTP严格传输安全(HTTP Strict Transport Security,缩写:HSTS)是一套由互联网工程任务组发布的互联网安全策略机制。网站管理员可以选择使用HSTS策略,使浏览器强制使用HTTPS与网站进行通信,以提高传输安全性,减少会话劫持风险。
二、HSTS工作原理
HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。它的工作原理是,当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段,浏览器将记录此信息,在Strict-Transport-Security字段有效期内,客户端通过HTTP发出的请求都会自动转换为HTTPS。
未使用HSTS时:
网站管理员通常在服务器采用HTTPS强制跳转实现强制加密传输,具体效果为:用户在访问时仅输入域名(如www.yunaq.com),由浏览器自动补全协议和端口后将通过HTTP协议进行传输http://www.yunaq.com(目前主流浏览器大部分默认按照HTTP协议补全,仅少部分浏览器优先采用HTTPS协议补全),请求到达服务器时,Web Server 301重定向到https://www.yunaq.com使用 HTTPS 进行传输。
此方式可以实现强制使用HTTPS协议,但每次跳转HTTPS均由服务器响应,将会增加总请求耗时。
使用HSTS时:
只要用户访问一次HTTPS,云防御将在响应头中返回Strict-Transport-Security字段如下,此字段将被浏览器记录:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
之后当客户端采用HTTP进行传输时,浏览器将检查Strict-Transport-Security字段是否在有效期,若在有效期内,浏览器直接响应307状态码,转为使用HTTPS进行传输。
三、配置方法
配置入口:https://defense.yunaq.com/sale_ssl/manage/,开启HTST设置即可。
注:
1.HTTP请求时不会响应Strict-Transport-Security字段,需客户端至少使用HTTPS请求一次后才可对之后的HTTP请求生效。
2.通常建议同时开启HSTS设置和HTTPS强制跳转功能,两个功能配合使用效果更佳。
3.开启HSTS后浏览器会将HTTP自动转为HTTPS请求(包括特殊端口),则如果业务系统在云防御上有配置特殊端口策略,不建议开启HSTS功能。