Previous Article Next Article 什麼是 HSTS – HTTP Strict Transport Security
Posted in WWW

什麼是 HSTS – HTTP Strict Transport Security

什麼是 HSTS – HTTP Strict Transport Security Posted on 2012 年 11 月 28 日Leave a comment

HSTS 是很久之前提出的技術,不過它現在也已成為國際標準了 (RFC 6797)。

HSTS (強制安全傳輸) 是為加強瀏覽網站時多一層保護,它讓我們在無論瀏覽 HTTP 或 HTTPS 都是透過 SSL / TLS 協定溝通連線,其實 HSTS 跟數位憑證很相近,都是用來辨識我們瀏覽的網站是否安全。

它也可防範中間人攻擊,因為傳輸過程都強制用加密了,降低了資訊外洩的風險。

怎麼知道我們麼用了 HSTS  : 只要網頁表頭會回應 “Strict-Transport-Security: max-age=16070400; includeSubDomains” ,且瀏覽器也要支援 HSTS。

怎麼測試: 打開 Google Chrome 瀏覽 chrome://net-internals/#hsts

它有個 Query domain 可以查網站是否有支援 HSTS,

就算沒有,它也可以新增一個網站來強制使用 HSTS,全呈就是 HTTPS 了。

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *