Web 安全之 HSTS 详解和使用

Web 安全之 HSTS 详解和使用

引用

CSDN

1.

https://blog.csdn.net/luduoyuan/article/details/131344799

HSTS（HTTP Strict Transport Security）是一种重要的网络安全机制，主要用于强制浏览器使用HTTPS协议与网站通信，从而有效防止中间人攻击和跨站请求伪造（CSRF）等安全威胁。本文将详细介绍HSTS的工作原理、应用场景以及如何在网站中开启HSTS功能。

HSTS 工作原理

HSTS原理是当浏览器请求网站服务器资源时，服务器会返回包含“Strict-Transport-Security”HTTP响应头的响应内容，用来告诉浏览器在接下来的访问中必须使用HTTPS而不是HTTP协议与该网站服务器通信。浏览器会在本地缓存这些信息一段时间，一般为六个月。

启用HSTS后，发送HTTP请求时，浏览器会自动检查有没有设置过HSTS，如果设置过，则会将HTTP升级为HTTPS请求（如果服务器的HTTPS证书无效了，例如证书过期、使用了自签名证书等，浏览器会终止连接）。

原理图如下：

HSTS的作用是强制浏览器使用HTTPS访问服务器。只有当客户端通过HTTPS发出请求时，收到的服务器的响应头中包含了Strict-Transport-Security字段才会生效。非HTTPS访问的响应头中设置的HSTS不会生效。

HSTS 的安全作用

• 提高网站安全性，通过设置HSTS强制浏览器使用HTTPS协议，可以有效防止中间人攻击和Cross-Site Request Forgery等攻击。
• 保护数据的传输安全，因为使用HTTPS协议可以防止数据在传输过程中被攻击者劫持。

如何配置 HSTS？

• 为WEB服务器配置好HTTPS协议和证书，最好使用权威的CA证书，具体的配置方法就不详细说明了，可以自行搜索自己使用的WEB服务器对应的HTTPS配置方法（强调一点，尽量使用TLS1.2及以上版本）。
• 在WEB服务器上正确设置HTTP Strict-Transport-Security响应头，在网站的HTTP响应头中设置HTTP Strict-Transport-Security头，可以告诉浏览器将该网站重定向到HTTPS协议，可以自行搜索自己使用的WEB服务器对应的设置Response Header的方法。示例及说明如下：

Strict-Transport-Security: max-age=31536000

以上Header的意思是，浏览器缓存此HSTS信息一年（31536000秒）的时间。还可以设置可选项includeSubDomains指令，用来将HSTS配置应用到所有子域名。例如：

Strict-Transport-Security: max-age=31536000; includeSubDomains

HSTS 的不足

• 用户首次访问某网站是不受HSTS策略保护的，因为首次访问时，浏览器还未收到HSTS配置。
• 由于HSTS会在一定时间后失效（通过max-age指定的有效期），所以浏览器是否使用HSTS策略取决于当前系统时间。攻击者可以通过一些方式修改操作系统的时间，从而使HSTS策略失效。

小结

HSTS是一种很有用的网络安全机制，可以用于提高网站的安全性和可靠性，有效防范中间人攻击和Cross-Site Request Forgery等攻击，建议所有网站都启用HSTS功能。同时，也需要定期检查和更新网站的安全设置，以确保安全性和可靠性。