您可能已經確保您的網站啟用了SSL，並且瀏覽器中漂亮的安全掛鎖是綠色的。然而，您可能已經忘記了HTTP的小安全人httpstrict Transport security（HSTS）。

什麼是HSTS，它如何幫助您的網站保持安全？

什麼是https協議(https)？

超文本傳輸協議安全（HTTPS）是網站（HTTP）的安全版本。使用安全套接字層（SSL）協議啟用加密，並使用SSL證書進行驗證。當您連接到HTTPS網站時，網站和用戶之間傳輸的信息是加密的。

此加密有助於防止通過中間人攻擊（MITM）竊取數據。添加的安全層也有助於提高網站的聲譽。事實上，添加SSL證書非常簡單，許多web主機將默認情況下免費將其添加到您的站點！也就是說，HTTPS仍然有一些缺陷，HST可以幫助修復。

什麼是高速列車(hsts)？

HSTS是一個響應頭，通知瀏覽器，啟用的網站只能通過HTTPS訪問。這迫使瀏覽器只能訪問網站的HTTPS版本及其上的任何資源。

您可能不知道，即使您已正確設置SSL證書併為網站啟用HTTPS，HTTP版本仍然可用。即使您使用301永久重定向設置了轉發，這也是正確的。

儘管HSTS政策已經存在了一段時間，但直到2016年7月谷歌才正式推出。這也許就是為什麼你還沒聽說過很多。

啟用HSTS將阻止SSL協議攻擊和cookie劫持，這是啟用SSL的網站中的另外兩個漏洞。此外，除了使網站更安全，HSTS將通過刪除加載過程中的一個步驟，使網站加載更快。

什麼是ssl剝離(ssl stripping)？

雖然HTTPS是HTTP的一個巨大改進，但它並不是不受黑客攻擊的。SSL剝離是一種非常常見的MITM黑客攻擊，用於使用重定向將用戶從HTTP發送到其網站的HTTPS版本。

301（永久）和302（臨時）重定向基本上是這樣工作的：

1. 用戶類型谷歌網站在他們瀏覽器的地址欄裡。
2. 瀏覽器最初嘗試加載http://google.com作為默認值。
3. "古戈爾“設置了301永久重定向到https://google.com。
4. 瀏覽器會看到重定向並加載https://google.com。

通過SSL剝離，黑客可以利用第3步到第4步之間的時間阻止重定向請求，並阻止瀏覽器加載網站的安全（HTTPS）版本。當您訪問未加密版本的網站時，您輸入的任何數據都可能被竊取。

黑客還可以重定向到你試圖訪問的網站的副本，並在你****時捕獲所有的數據，即使看起來很安全。

谷歌已經在Chrome中實施了一些步驟來阻止某些類型的重定向。但是，從現在起，啟用HSTS應該是默認情況下為所有網站執行的操作。

啟用hsts如何停止ssl剝離？

啟用HST將強制瀏覽器加載網站的安全版本，並忽略任何重定向和任何其他調用以打開HTTP連接。這將關閉301和302重定向存在的重定向漏洞。

HST也有負面的一面，也就是說用戶的瀏覽器至少要查看一次HSTS頭，才能利用它進行將來的訪問。這意味著他們至少要經歷一次HTTP>HTTPS進程，這使得他們第一次訪問啟用HSTS的網站時就容易受到攻擊。

為了解決這個問題，Chrome會預先加載一個啟用了HSTS的網站列表。如果符合要求（簡單）的標準，用戶可以將支持HSTS的網站提交到預加載列表中。

添加到此列表中的網站將被硬編碼到Chrome更新的未來版本中。它確保所有訪問你的HSTS網站的人都能在Chrome的更新版本中保持安全。

Firefox、Opera、Safari和internetexplorer都有自己的HSTS預加載列表，但它們是基於瀏覽器上的Chrome列表的hstspreload.org網站.

如何在您的網站上啟用HST

要在網站上啟用HST，首先需要有有效的SSL證書。如果您啟用HST而不啟用HST，則您的網站將不適用於任何訪問者，因此請確保您的網站和任何子域在繼續之前都在HTTPS上工作。

啟用HSTS相當容易。您只需要在站點上的.htaccess文件中添加一個頭文件。需要添加的標題為：

這會添加一年最大年齡訪問cookie（什麼是cookie？），包括您的網站和任何子域。一旦瀏覽器訪問了該網站，它將無法訪問一年內該網站的不安全HTTP版本。確保此域上的所有子域都包含在SSL證書中，並且啟用了HTTPS。如果忘記了這一點，則在保存.htaccess文件後，將無法訪問子域。

缺少includeSubDomains選項的網站可以允許子域操縱cookies，從而使訪問者暴露於隱私洩露。啟用includeSubDomains後，這些與cookie相關的攻擊將不可能發生。

注意：在添加一年最大年齡之前，請先使用：max age=300測試整個網站的5分鐘最大年齡；

谷歌甚至建議你測試你的網站和它的性能（流量）一週，一個月的價值，以及之前實施兩年的最大年齡。

**hsts預加載列表

到現在為止，你應該熟悉的HST和為什麼它是重要的，你的網站使用它。保持你的網站訪問者安全在線應該是一個關鍵因素，你的網站計劃。

要獲得Chrome和其他瀏覽器使用的HSTS預加載列表的資格，您的網站必須滿足以下要求：

1. 提供有效的SSL證書。
2. 如果您正在偵聽端口80，則從HTTP重定向到同一主機上的HTTPS。
3. 通過HTTPS服務所有子域。特別是，您必須支持以下內容的HTTPSwww.subdomain如果該子域的DNS記錄存在。
4. 在基本域上為HTTPS請求提供HSTS標頭：最大時間必須至少為31536000秒（1年）。必須指定includeSubDomains指令。必須指定預加載指令。如果您正在從HTTPS站點提供附加重定向，則該重定向必須仍然具有HSTS標頭（而不是它重定向到的頁面）。

如果要將網站添加到HSTS預加載列表中，請確保添加所需的預加載標記。“預加載”選項表示希望將網站添加到Chrome的HSTS預加載列表中。然後.htaccess中的響應標頭應如下所示：

我們建議您將網站添加到hstspreload.org網站. 這些要求很容易滿足，這將有助於保護網站的訪問者，並有可能提高網站的搜索引擎排名。