使用HSTS，让HTTP自动强制跳转到HTTPS

发布日期：2017-11-13

对网络熟悉的朋友肯定听说过“http”和“https”。简单来说，二者相差的“s”就是英文安全Secure的缩写。

HTTPS(全称：Hyper Text Transfer Protocol over Secure Socket Layer)，是以安全为目标的HTTP通道，因其安全性的特点，收到了谷歌等企业的信赖和推广。

为了保证数据安全，在https协议中采用了很多种加密算法，诸如大家比较熟悉的哈希算法，还有对称加密、非对称加密和数字签名等。

比如哈希算法就是将任意长度的信息转换成固定长度的数值，而且这种算法转换采用的是脱敏方式，算法不可逆。

HTTP和HTTPS区别

但问题是，目前我们真的用的都是https吗，即便都是了，就真的安全了吗? 答案必然是否定的。

根据用户习惯，我们一般只会在浏览器中输入相应的域名，并不会手动输入“http”或“https”。此时，浏览器为我们代劳，而当前几乎所有浏览器都是默认填写“http：//”的。

网站管理员一般会采用301/302跳转的方式，由HTTP跳转到HTTPS，而这个过程中很有可能收到攻击。此时，便体现了HSTS的功效。

由HTTP跳转到HTTPS

那么什么是HSTS 呢? 事实上，HSTS是国际互联网工程组织IETF正在推行一种新的Web安全协议，这种安全协议正是在网站跳转时起到关键作用的协议，帮助用户转到安全链接。

采用HSTS安全协议的优势在于不但能够增强数据传输安全性，避免在转化过程中收到网络攻击，还可以减少网站301/302跳转时所花费的大量时间，极大提高安全系数和用户体验

文章来源：快科技