HTTPS是以安全为目标的HTTP通道,HSTS你知道是什么吗?
HSTS全称是HTTP Strict Transport Security,是一种网络安全的策略,能够防止协议降级、流量劫持等攻击,在阿里云SSL设置里面可以看到HSTS。
下面继续说一下,Web服务器通过该响应头声明后,Web浏览器或其他的客户端只能通过安全HTTPS连接与其进行交互,服务器通过HTTPS的响应头实现HSTS策略,浏览器会忽略通过HTTP响应头定义的HSTS策略,该响应头可以添加的值如下所示:
1、max-age=seconds
是否可选:必选;
描述:HSTS头作用的时间,最大值为31536000,即一年时间;
2、includeSubDomains
是否可选:可选
描述:指定该参数后,HSTS头将作用于网站所有的子域名;
3、preload
是否可选:可选
描述:指定该参数后,会将HSTS头的设置记录在一个由Google维护的预加载列表中,加载该列表的浏览器会将默认该域名启用HSTS,该值可能将会永久的阻止用户以HTTP的方式访问网站所有域名,因此要谨慎使用该域名。
