HSTS 是很久之前提出的技術,不過它現在也已成為國際標準了 (RFC 6797)。
HSTS (強制安全傳輸) 是為加強瀏覽網站時多一層保護,它讓我們在無論瀏覽 HTTP 或 HTTPS 都是透過 SSL / TLS 協定溝通連線,其實 HSTS 跟數位憑證很相近,都是用來辨識我們瀏覽的網站是否安全。
它也可防範中間人攻擊,因為傳輸過程都強制用加密了,降低了資訊外洩的風險。
怎麼知道我們麼用了 HSTS : 只要網頁表頭會回應 “Strict-Transport-Security: max-age=16070400; includeSubDomains” ,且瀏覽器也要支援 HSTS。
怎麼測試: 打開 Google Chrome 瀏覽 chrome://net-internals/#hsts
它有個 Query domain 可以查網站是否有支援 HSTS,
就算沒有,它也可以新增一個網站來強制使用 HSTS,全呈就是 HTTPS 了。
留言