访问http网站，和服务器交互的步骤
浏览器向服务器发起一次HTTP请求
服务器返回一个重定向地址
浏览器在发送一次HTTPS请求，得到最终内容

上面浏览器发送http请求后容易被拦截，使用HSTS后可以避免
浏览器发送http请求,浏览器自己将http转为Https请求
在访问服务器
服务器返回内容

HSTS:HTTP Strict-Transport-Security

服务器返回给浏览器的响应头中，添加如下
Strict-Transport-Security: max-age=31536000; includeSubDomains;preload
max-age是设置时间，必填
includeSubDomains是否包含子域名，选填
preload选填
在接下来一年（31536000秒），对于当前域名及其子域名的后续通信强制使用HTTPS
有效期是最近两次操作的间隔时间

启用了浏览器HSTS保护的网站，如果浏览器发现当前连接不安全，仅仅是警告用户，不再给用户提供是否访问的选择

浏览器内置一个列表，只要在列表中的域名，都是用HTTPS发起连接

nginx可以配置HSTS
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
在生产环境中使用要特别谨慎，否则恰好证书出问题，这个时间设置过长会出现无法访问

关于HSTS的总结的更多相关文章

1. 【流量劫持】躲避 HSTS 的 HTTPS 劫持

   前言 HSTS 的出现,对 HTTPS 劫持带来莫大的挑战. 不过,HSTS 也不是万能的,它只能解决 SSLStrip 这类劫持方式.但仔细想想,SSLStrip 这种算劫持吗? 劫持 vs 钓鱼 ...

2. 使用https的HSTS需要注意的一个问题

   HSTS(HTTP Strict Transport Security) 简单来说就是由浏览器进行http向https的重定向.如果不使用HSTS,当用户在浏览器中输入网址时没有加https,浏览器会 ...

3. HTTPS强制安全策略-HSTS协议阅读理解

   https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security [阅读理解式翻译,非严格遵循原 ...

4. HTTP HSTS协议和 nginx

   导读 Netcraft 公司最近公布了他们检测SSL/TLS网站的研究,并指出只有仅仅5%的用户正确执行了HTTP严格传输安全HSTS.本文介绍nginx如何配置HSTS. 什么是HSTS HTTPS ...

5. 使用mitmf 来绕过HSTS站点抓取登陆明文

   使用mitmf 来绕过HSTS站点抓取登陆明文 HSTS简介 HSTS是HTTP Strict Transport Security的缩写,即:"HTTP严格安全传输".当浏览器第 ...

6. web前端利用HSTS(新的Web安全协议HTTP Strict Transport Security)漏洞的超级Cookie(HSTS Super Cookie)

   web前端如果想实现cookie跨站点,跨浏览器,清除浏览器cookie该cookie也不会被删除这似乎有点难,下面的教程让你完全摆脱document.cookie 1.服务器端设置HSTS 如PHP ...

7. HTTP严格安全传输（HTTP Strict Transport Security, HSTS）chromuim实现源码分析（一）

   // HTTP strict transport security (HSTS) is defined in// http://tools.ietf.org/html/ietf-websec-stri ...

8. HTTP严格安全传输（HTTP Strict Transport Security, HSTS）chromuim实现源码分析（二）

   HTTP严格安全传输(HTTP Strict Transport Security, HSTS)chromuim实现源码分析(一) 下面来查看其他对保存HSTS信息的enabled_sts_hosts ...

9. 如何关闭浏览器的HSTS功能

   在安装配置 SSL 证书时,可以使用一种能使数据传输更加安全的Web安全协议,即在服务器端上开启 HSTS (HTTP Strict Transport Security).它告诉浏览器只能通过HTT ...

10. 从 HTTP 到 HTTPS 再到 HSTS

    近些年,随着域名劫持.信息泄漏等网络安全事件的频繁发生,网站安全也变得越来越重要,也促成了网络传输协议从 HTTP 到 HTTPS 再到 HSTS 的转变. HTTP HTTP(超文本传输协议) 是一 ...

随机推荐

1. css3动画第一式--简单翻滚

   在w3cschool上面查阅css3的动画语法手册时,发现“css3 动画”栏目首页放了一个翻滚的div动画案例,觉得挺好看的,于是就自己模仿着写了一下,感觉还行O(∩_∩)O哈哈~ 查看原地址 下面 ...

2. Boot 44b0x by uboot

   1. Creat a branch from tag v2013.10-rc4 2. Build it: make B2 Install NFS service for Ubuntu 12.04 1. ...

3. 转：PCL+VS2010环境配置

   1.下载 http://www.pointclouds.org/downloads/windows.html出下载PCL完全安装包1.6.0 all-in-one-installer,我的电脑是32位 ...

4. 获取CentOS系统详情的九个uname命令实例

   当你在控制台模式下,无法通过“鼠标右键 > 关于”获取操作系统的信息.这时,在Linux下,你可以使用uname命令,帮助你完成这些工作. Uname是unix name的缩写.在控制台中实际使 ...

5. TDirectory.GetDirectories 获取指定目录下的目录

   使用函数: System.IOUtils.TDirectory.GetDirectories 所有重载: class function GetDirectories(const Path: strin ...

6. “:Choose a destination with a supported architecture in order to run on this device.”

   我在编译从GitHub上clone下来的<TweeJump>时,出现如下错误:":Choose a destination with a supported architectu ...

7. getting &OpenCurlyDoubleQuote;fatal&colon; not a git repository&colon; &&num;39&semi;&period;&&num;39&semi;” when using post-update hook to execute &&num;39&semi;git pull&&num;39&semi; on another repo

   Here is the script that ultimately worked. I think the bit I was originally missing that prevented i ...

8. 【转】vim替换命令

   vim替换命令 free:此文后面涉及了正则表达式,随便看了一下,觉得正则表达式有时间学一学对于在Linux下操作也是方便许多 替換(substitute) :[range]s/pattern/str ...

9. 解决exlicpe以debug模式启动或运行速度非常慢的问题

   该问题可能是由于eclipse和tomcat的交互而产生的, 在以debug模式启动tomcat时,发生了读取文件错误, eclipse自动设置了断点,导致tomcat不能正常启动. 解决方法如下:以 ...

10. 关于codeforces国内访问卡顿慢的最新解决办法&comma;谷歌字体库&sol;屏蔽facebook链接

    在host里最后加上 方法起源来自于https://blog.csdn.net/qq_40693171/article/details/83623409 但是里面的360字体库已经停运http://w ...