簡單易懂HSTS，你須要它！

想當年沒有HTTPS的是時候，咱們在瀏覽器輸入一個域名，請求服務器內容，正常狀況下能夠進行數據的返回。可是若是在瀏覽器和服務器之間出現劫持者，也就是中間人劫持或者中間人攻擊，咱們的數據就會被劫持篡改。自從有了HTTPS，感受放心很多，可是有了HTTPS咱們的請求難道就高枕無憂了嗎？

1、有了HTTPS咱們的請求難道就高枕無憂了嗎？

在咱們平時訪問網頁時。咱們通常不會在地址欄輸入 www.fenqile.com而是習慣性輸入 fenqile.com，此時瀏覽器走的是 http，請求到達服務器以後，服務器告訴瀏覽器 302 跳轉。而後瀏覽器從新請求，經過 HTTPS 方式，443 端口通信。

而正由於用戶不是直接輸入 // 連接，劫持者利用這一點：也能夠進行一個劫持的操做 首先劫持用戶的 80 端口，當用戶向目標頁發起請求時，劫持者模擬正常的 https 請求向源服務器獲取數據，而後經過 80 端口返回給用戶。

這種劫持出如今兩種狀況下：

• 用戶沒有經過準確的方式訪問頁面，除非輸入 // ，不然瀏覽器默認以 http 方式訪問。
• HTTPS 頁面的連接中包含 http，這個 http 頁面可能被劫持。

2、啓用HSTS(主角登場)

1.定義

HTTP Strict Transport Security (一般簡稱爲HSTS) 是一個安全功能，它告訴瀏覽器只能經過HTTPS訪問當前資源, 禁止HTTP方式。

HTTP Strict Transport Security (HSTS) is an opt-in security enhancement that is specified by a web application through the use of a special response header. Once a supported browser receives this header that browser will prevent any communications from being sent over HTTP to the specified domain and will instead send all communications over HTTPS. It also prevents HTTPS click through prompts on browsers. The specification has been released and published end of 2012 as RFC 6797 (HTTP Strict Transport Security (HSTS)) by the IETF.

2.原理

1. 在服務器響應頭中添加 Strict-Transport-Security，能夠設置 max-age
2. 用戶訪問時，服務器種下這個頭
3. 下次若是使用 http 訪問，只要 max-age 未過時，客戶端會進行內部跳轉，能夠看到 307 Redirect Internel 的響應碼。
4. 變成 https 訪問源服務器

3.HSTS的優勢

1. 啓用 HSTS 不只僅能夠有效防範中間人攻擊
2. 爲瀏覽器節省來一次 302/301 的跳轉請求，收益仍是很高的。咱們的不少頁面，難以免地出現 http 的連接，好比 help 中的連接、運營填寫的連接等，這些連接的請求都會經歷一次 302，對於用戶也是同樣，收藏夾中的連接保存的可能也是 http 的。

4.HSTS的缺點

HSTS這個過程有效避免了中間人對 80 端口的劫持。可是這裏存在一個問題：若是用戶在劫持狀態，而且沒有訪問過源服務器，那麼源服務器是沒有辦法給客戶端種下 Strict-Transport-Security 響應頭的（都被中間人擋下來了）。

3、HSTS 存在的坑

1. IP 的請求，HSTS 沒法處理，例如http://1.1.1.1 響應頭中設置了STS，瀏覽器也不會理會。
2. HSTS 只能在 80 和 443 端口之間切換，若是服務是 8080 端口，即使設置了 STS，也無效。
3. 若是瀏覽器證書錯誤，通常狀況會提醒存在安全風險，然是依然給一個連接進入目標頁，而 HSTS 則沒有目標頁入口，因此一旦證書配置錯誤，就是很大的故障了
4. 若是服務器的 HTTPS 沒有配置好就開啓了 STS 的響應頭，而且還設置了很長的過時時間，那麼在你服務器 HTTPS 配置好以前，用戶都是沒辦法鏈接到你的服務器的，除非 max-age 過時了。

4、測試

步驟1：訪問域名http://passport.oa.fenqile.com，兩次請求，地址進行302重定向。

步驟二：chrome://net-internals/#hsts，咱們站點手動加入到chrome瀏覽器的hsts緩存中。

步驟3：在未清空chrome瀏覽器歷史記錄的前提下，咱們再次訪問這個站點。

爲何咱們要求在未清空chrome瀏覽器的緩存前訪問呢？ 由於若是清空了chrome瀏覽器的緩存以後，咱們手動加入到hsts緩存中的域名就會被清除，也就不會看到預期的效果了。

手動設置域名的HSTS，這裏你們可能會問，passport.oa.fenqile.com 這個域名你自己就會設置HSTS並跳轉到HTTPS上呀，你的截圖是假的。這裏我須要解釋一下，爲了進行這個測試，我求了運維大哥，請求他短暫的進行了設置（不進行HSTS的設置和HTTPS的強跳轉），才成功的進行了實驗。

謝謝你們！但願和你們一塊兒成長！

參考： www.barretlee.com/blog/2015/1…