HTTP 标头 |严格的运输安全

HTTP 严格传输安全 (HSTS)是一种 Web 安全策略机制，有助于保护网站免受恶意活动的侵害，并通知用户代理和 Web 浏览器如何通过响应标头处理其连接。每当网站通过 HTTP 连接然后重定向到 HTTPS 时，就会产生中间人攻击的机会，并且重定向可能会将用户引导至恶意网站，因为用户首先必须与未加密版本的网站。服务器通过在 HTTPS 连接上提供标头来实现 HSTS 策略，该标头通知浏览器使用 HTTPS 而不是 HTTP 加载站点。

句法：

Strict-Transport-Security: max-age=

Strict-Transport-Security: max-age=; includeSubDomains

Strict-Transport-Security: max-age=; preload

指令：

• ：这提到了用户代理或浏览器应该只使用 HTTP 以安全方式访问服务器的时间（以秒为单位）。
• includeSubDomains：这指示浏览器也将规则应用于站点的所有页面和子域。
• preload：这是包含在大多数主要 Web 浏览器的 HSTS 预加载列表中所必需的。

说明：如果用户在地址栏输入http://www.geeksforgeeks.com/或geeksforgeeks.com ，这将为中间人攻击创造机会。可以利用重定向将访问者引导至恶意站点，而不是原始站点的安全版本。

例子：

Strict-Transport-Security: max-age=3600; includeSubDomains

所有页面和子域都将是 HTTPS 最长 1 小时。这会阻止访问无法通过 HTTPS 提供的页面或子域。

Strict-Transport-Security: max-age=7200; includeSubDomains; preload

所有当前和未来的子域都将是 HTTPS，最长 2 小时。它还具有 preload 作为大多数主要 Web 浏览器的 HSTS 预加载列表中必需的后缀。

要检查此 Strict-Transport-Security 的运行情况，请转到Inspect Element -> Network检查 Strict-Transport-Security 的响应标头，如下所示，您可以看到 Strict-Transport-Security 突出显示。

支持的浏览器：以下浏览器与HTTP Strict-Transport-Security 兼容。

• 谷歌浏览器 4.0
• 互联网浏览器 11.0
• 火狐4.0
• Safari 7.0
• 歌剧 12.0