減小網站跳轉時間，加強網站數據安全——HSTS 詳解

近年來隨着 Google、Apple、百度等公司不斷推進 HTTPS 普及，全網 HTTPS 已經是大勢所趨。目前多數網站都已經支持 HTTPS 訪問，可是在由 HTTP 轉向 HTTPS 路程中，很多網站依然會面臨不少問題。

一般用戶準備訪問某個網站時，不會在輸入的域名前面加上 http:// 或者 https://，須要瀏覽器自動填充，而瀏覽器默認填充的都是 http://，須要網站採用 301/302 跳轉的方式，由 HTTP 跳轉到 HTTPS。 
 
301 跳轉 
因爲 301/302 跳轉增長了瀏覽器與服務器的交互，增加用戶訪問與等待時間，會影響用戶體驗，而且跳轉的過程容易發生劫持，遭受第三方攻擊。

當用戶訪問到不安全的 HTTPS 網址時，瀏覽器雖然會提示用戶訪問的網站不安全，可是仍是容許用戶在瞭解安全風險以後繼續訪問，致使用戶面臨數據泄密的風險。 
 
HTTP 劫持 
 
網站不安全提醒

HSTS 強制開啓 HTTPS 保障數據安全 
HSTS（HTTP Strict Transport Security，RFC6797），即 HTTP 嚴格安全傳輸，是國際互聯網工程組織 IETF 正在推行一種新的 Web 安全協議。

網站採用 HSTS 後，用戶訪問時無需手動在地址欄中輸入 HTTPS，瀏覽器會自動採用HTTPS 訪問網站地址，從而保證用戶始終訪問到網站的加密連接，保護數據傳輸安全。同時只要瀏覽器曾經與服務器建立過一次安全鏈接，以後瀏覽器會強制使用 HTTPS，即便連接被換成了 HTTP。

當連接非 HTTPS 時，用戶也沒法忽略瀏覽器不安全提示，沒法繼續訪問不安全連接，能夠進一步保護用戶的數據安全。 
 
連接不安全提醒

開啓 HSTS 後，在 ssllabs 上進行測試，網站的安全等級會從A升級至A+ 
開啓前等級爲：A 
 
開啓後等級變爲：A+ 
Chrome、Safari、Firefox等瀏覽器都已經開始相繼支持 HSTS，下圖爲各大瀏覽器對HSTS的支持狀況（對於不支持的瀏覽器，又拍雲會忽略此響應頭，對用戶的訪問無影響）： 
 
瀏覽器支持狀況

總結 
對於那些安全性要求較高的網站，啓用 HSTS 無疑是不錯的選擇。當用戶訪問網站域名時，都可以讓用戶使用 HTTPS 來請求網站資源，能夠更加有效地保護網站和用戶的數據安全，而且減小用戶等待 301/302 的跳轉時間，帶來更好的用戶體驗。

又拍雲 HTTPS 憑藉全球200+節點及服務器，實現應用層通訊加密訪問，同時使用多種加速技術，減小HTTPS 延遲加載，經過對請求進行壓縮、優先級排列等方式，下降網頁加載時間。 

來自：upyun.com