简单易懂HSTS，你须要它！

想当年没有HTTPS的是时候，咱们在浏览器输入一个域名，请求服务器内容，正常状况下能够进行数据的返回。可是若是在浏览器和服务器之间出现劫持者，也就是中间人劫持或者中间人攻击，咱们的数据就会被劫持篡改。自从有了HTTPS，感受放心很多，可是有了HTTPS咱们的请求难道就高枕无忧了吗？

1、有了HTTPS咱们的请求难道就高枕无忧了吗？

在咱们平时访问网页时。咱们通常不会在地址栏输入 www.fenqile.com而是习惯性输入 fenqile.com，此时浏览器走的是 http，请求到达服务器以后，服务器告诉浏览器 302 跳转。而后浏览器从新请求，经过 HTTPS 方式，443 端口通信。

而正由于用户不是直接输入 // 连接，劫持者利用这一点：也能够进行一个劫持的操做 首先劫持用户的 80 端口，当用户向目标页发起请求时，劫持者模拟正常的 https 请求向源服务器获取数据，而后经过 80 端口返回给用户。

这种劫持出如今两种状况下：

• 用户没有经过准确的方式访问页面，除非输入 // ，不然浏览器默认以 http 方式访问。
• HTTPS 页面的连接中包含 http，这个 http 页面可能被劫持。

2、启用HSTS(主角登场)

1.定义

HTTP Strict Transport Security (一般简称为HSTS) 是一个安全功能，它告诉浏览器只能经过HTTPS访问当前资源, 禁止HTTP方式。

HTTP Strict Transport Security (HSTS) is an opt-in security enhancement that is specified by a web application through the use of a special response header. Once a supported browser receives this header that browser will prevent any communications from being sent over HTTP to the specified domain and will instead send all communications over HTTPS. It also prevents HTTPS click through prompts on browsers. The specification has been released and published end of 2012 as RFC 6797 (HTTP Strict Transport Security (HSTS)) by the IETF.

2.原理

1. 在服务器响应头中添加 Strict-Transport-Security，能够设置 max-age
2. 用户访问时，服务器种下这个头
3. 下次若是使用 http 访问，只要 max-age 未过时，客户端会进行内部跳转，能够看到 307 Redirect Internel 的响应码。
4. 变成 https 访问源服务器

3.HSTS的优势

1. 启用 HSTS 不只仅能够有效防范中间人攻击
2. 为浏览器节省来一次 302/301 的跳转请求，收益仍是很高的。咱们的不少页面，难以免地出现 http 的连接，好比 help 中的连接、运营填写的连接等，这些连接的请求都会经历一次 302，对于用户也是同样，收藏夹中的连接保存的可能也是 http 的。

4.HSTS的缺点

HSTS这个过程有效避免了中间人对 80 端口的劫持。可是这里存在一个问题：若是用户在劫持状态，而且没有访问过源服务器，那么源服务器是没有办法给客户端种下 Strict-Transport-Security 响应头的（都被中间人挡下来了）。

3、HSTS 存在的坑

1. IP 的请求，HSTS 没法处理，例如http://1.1.1.1 响应头中设置了STS，浏览器也不会理会。
2. HSTS 只能在 80 和 443 端口之间切换，若是服务是 8080 端口，即使设置了 STS，也无效。
3. 若是浏览器证书错误，通常状况会提醒存在安全风险，然是依然给一个连接进入目标页，而 HSTS 则没有目标页入口，因此一旦证书配置错误，就是很大的故障了
4. 若是服务器的 HTTPS 没有配置好就开启了 STS 的响应头，而且还设置了很长的过时时间，那么在你服务器 HTTPS 配置好以前，用户都是没办法链接到你的服务器的，除非 max-age 过时了。

4、测试

步骤1：访问域名http://passport.oa.fenqile.com，两次请求，地址进行302重定向。

步骤二：chrome://net-internals/#hsts，咱们站点手动加入到chrome浏览器的hsts缓存中。

步骤3：在未清空chrome浏览器历史记录的前提下，咱们再次访问这个站点。

为何咱们要求在未清空chrome浏览器的缓存前访问呢？ 由于若是清空了chrome浏览器的缓存以后，咱们手动加入到hsts缓存中的域名就会被清除，也就不会看到预期的效果了。

手动设置域名的HSTS，这里你们可能会问，passport.oa.fenqile.com 这个域名你自己就会设置HSTS并跳转到HTTPS上呀，你的截图是假的。这里我须要解释一下，为了进行这个测试，我求了运维大哥，请求他短暂的进行了设置（不进行HSTS的设置和HTTPS的强跳转），才成功的进行了实验。

谢谢你们！但愿和你们一块儿成长！

参考： www.barretlee.com/blog/2015/1…