如何配置HSTS，HSTS部署方法介绍

HSTS作用

HTTP严格传输安全(HTTP Strict transport security，HSTS)，配置浏览器对整个域名空间使用HTTPS来加密，它具备以下优点：

1. HSTS可以禁止浏览器使用无效证书(浏览器的默认策略是让用户决定是否放行，而用户往往因为不能区分无效是因为配置问题还是攻击而选择继续访问从而导致遭受网络攻击)

2. HSTS对以下情况可以仍然保持HTTPS通信：

· 用户保存了原始网站的书签

· 不安全的Cookie

· HTTPS 剥离攻击

· 网站内容混布，但需配合CSP(内容安全策略)

HSTS部署

通过在加密的HTTP响应中包含

Strict-Transport-Security头来实现网站HSTS，例如

最佳的部署方案是部署在离用户最近的位置，例如架构有前端反向代理和后端web服务器，在前端代理处配置HSTS是最好的，否则就需要在web服务器层配置HSTS。如果web服务器不明确支持HSTS，可以通过增加响应头的机制，但需要阅读各种服务器的附属细则。如果其他方法都失败了，可以在应用程序层增加HSTS。

Apache

#启用HTTP严格传输安全

#HSTS策略只能在加密通道的HTTP响应中进行设置，因此需要把http重定向到https，如果明文响应中允许设置HSTS头，中间人攻击者就可以通过在普通站点中注入HSTS信息来执行DoS攻击

IIS

第三方模块 http://hstsiis.codeplex.com

Nginx

注意：addheader指令只会将HTTP头添加到非错误响应中(2xx和3xx)

更多部署方法请参考：https://linux.cn/article-5266-1.html

全网部署

相关资讯：

如何开启HSTS让浏览器强制跳转HTTPS访问

HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS...

如何利用HSTS强制网站HTTPS加密访问

HSTS全称是HTTP Strict Transport Security,已经被主流的浏览器广泛采用,支持HSTS的服务端可以强制访问它的浏览器使用HTTPS 协议,这样就可以最大限度的...

Google.com支持HSTS,强制HTTPS访问

谷歌宣布域名Google.com支持HSTS机制,HSTS(HTTP Strict Transport Security)是一种帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的机制,主要...

HTTPS骨灰粉谈加入HSTS预载入列表

服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的HTTP响应头中包含Strict-Transport-Security字段。浏览器接收到这样的信息之后,在一定期限内对该...