什么是HSTS
HSTS是国际互联网工程组织 IETF 正在推行一种新的Web安全协议,网站采用HSTS后,用户访问时无需手动在地址栏中输入 HTTPS,浏览器会自动采用 HTTPS 访问网站地址,从而保证用户始终访问到网站的加密链接,保护数据传输安全。
浏览器版本支持
Chromium和Google Chrome从4.0.211.0版本开始支持HSTS
Firefox 4及以上版本
Opera 12及以上版本
Safari从OS X Mavericks起
Internet Explorer从Windows 10技术预览版开始支持,之后微软又向IE11用户推送了支持HSTS的更新。
HSTS的优点和缺点
优点:
- 比传统的302重定向更加安全,不会被劫持;
- 对访问速度有提示,302 跳转需要一个 RTT消耗,浏览器执行跳转也需要时间。
缺点
- 用户首次访问某网站是不受HSTS保护的。这是因为首次访问时,浏览器还未收到HSTS,所以仍有可能通过明文HTTP来访问。
- HSTS会在一定时间段后失效,需要手动设置缓存期。
操作步骤
server {
listen 80 ;