HSTS 是很久之前提出的技術,不過它現在也已成為國際標準了 (RFC 6797)。

HSTS (強制安全傳輸) 是為加強瀏覽網站時多一層保護,它讓我們在無論瀏覽 HTTP 或 HTTPS 都是透過 SSL / TLS 協定溝通連線,其實 HSTS 跟數位憑證很相近,都是用來辨識我們瀏覽的網站是否安全。

它也可防範中間人攻擊,因為傳輸過程都強制用加密了,降低了資訊外洩的風險。

怎麼知道我們麼用了 HSTS  : 只要網頁表頭會回應 “Strict-Transport-Security: max-age=16070400; includeSubDomains” ,且瀏覽器也要支援 HSTS。

怎麼測試: 打開 Google Chrome 瀏覽 chrome://net-internals/#hsts

它有個 Query domain 可以查網站是否有支援 HSTS,

就算沒有,它也可以新增一個網站來強制使用 HSTS,全呈就是 HTTPS 了。

最後修改日期: 2012 年 11 月 28 日

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。