什麼是HSTS？

HSTS 是 Web 安全響應標頭。該名稱是“HTTP Strict Transport Security”的首字母縮寫詞。HSTS 標頭的功能是強制瀏覽器使用 HTTPS 連接到網站。

提示：HTTPS 使用加密來保護您的網絡連接免受試圖修改或監控它的黑客的攻擊。HTTP 沒有這些保護措施，因此在正確位置的黑客可以監視和修改您的 HTTP 流量。

Web 響應頭是服務器響應 Web 請求時發送的一段元數據。這些標頭的子集通常稱為安全標頭，因為它們的目的是提高網站和用戶的安全性。

HSTS 報頭有兩個強制部分和兩個可選部分。標頭名稱“Strict-Transport-Security”，然後是“max-age”運算符和值都是強制性的。有時還會使用另一對運算符“includeSubDomains”和“preload”。

當瀏覽器收到帶有 HSTS 標頭的 HTTPS 響應時，它會被指示連接到該網站及其上的所有資源，在“max-age”計時器的持續時間內專門使用 HTTPS。“Max-age”是一個變量，用於描述瀏覽器必須記住設置的時間。“max-age”的值以秒為單位列出，推薦值為“31536000”，即一年。

這個想法是在這個計時器的持續時間內，隨著每個後續頁面加載而重置，瀏覽器將需要 HTTPS 連接並拒絕任何 HTTP 資源。這可以防止中間人攻擊，您和網絡服務器之間的黑客可以操縱您收到的響應。

這保護您的主要點是第一個連接。通常，當您連接到網站時，您可能會請求 HTTP 網站，然後被轉發到 HTTPS 網站。不幸的是，處於中間人位置的黑客可能會阻止此升級到 HTTPS，然後可能會竊取或監視您在網站上的活動。但是，一旦瀏覽器看到 HSTS 標頭，您的瀏覽器甚至會通過 HTTPS 進行首次連接，從而保護您免受黑客攻擊。

HSTS 還可以防止加載任何不安全的資源，如果這些資源通過 HTTP 傳送，這些資源也可能被攻擊者惡意修改。

“includeSubDomains”運算符用於指示標頭也應適用於網站的所有子域。

HSTS 預加載列表

您可能會注意到 HSTS 在您第一次連接到網站時仍然無法保護您。這就是“預加載”運營商的用武之地。網站可以提交自己被包含在 HSTS 預加載列表中，如果是這種情況，“預加載”運營商是必需的指標。HSTS 預加載列表會定期更新並存儲在瀏覽器中，如果其中包含站點，則瀏覽器將對其應用 HSTS 保護。即使在瀏覽器看到 HSTS 響應標頭之前的第一個連接上也會發生這種情況。

提示：需要將一年或更長的“max-age”添加到 HSTS 預加載列表中。 

HSTS 問題

HSTS 的要點之一是，如果 HTTPS 連接有任何問題，它會顯示錯誤消息。作為額外的安全預防措施，用戶不應該能夠繞過 HSTS 錯誤消息，因為他們可以繞過正常的 HTTPS 錯誤。

不幸的是，如果公司在整個網站之前推出 HSTS，並且網站上使用的每個資源都支持 HTTPS，這可能會導致問題。在這種情況下，用戶將開始看到他們無法繞過的 HSTS 安全錯誤消息，基本上完全破壞了網站。最糟糕的是，僅僅刪除 HSTS 標頭並不能解決這些用戶的問題，因為他們的瀏覽器將繼續在可能長達數月的“max-age”內強制執行 HSTS。

因此，在首次部署標頭時使用簡短的“max-age”至關重要。如果有任何問題，那麼一旦發現它們只會持續很短的時間。只有當您確信您的網站完全符合 HSTS 標準時，您才應該配置一個長 HSTS 計時器。

提示：也可以將“max-age”設置為 0，這實質上是從任何看到它的人那裡刪除保存的 HSTS 條目。如果出現問題，這會有所幫助，但只會在用戶決定重試時影響用戶。