当用fiddler抓包工具抓取某些HTTPS网站,浏览器页面显示无法访问,提示该网站使用了HSTS。那究竟什么是HSTS呢?它的作用是什么呢?
HSTS是HTTP严格传输安全协议(英语:HTTP Strict Transport Security,简称:HSTS)。
目前HTTPS网站存在下面弱点:
1、当用户在浏览器中输入www.baidu.com,浏览器默认会将访问http://www.baidu.com,而不是https://www.baidu.com。将由服务器将http请求重定向到https,但这将消耗服务器的性能资源。
2、当HTTPS网站中使用的是自签名证书(或者不在浏览器的证书信任列表中),浏览器会发出网站存在安全风险警告,但不会中止HTTPS网站访问,并询问用户是否信任该证书,继续访HTTPS网站。安全风险由用户决定。我们fiddler抓取HTTPS网站时,网站的证书已经被fifdler截获,而此浏览器中显示的证书,为fiddler创建的证书,所以也会报警告(也叫中间人攻击)。
通过设置HSTS可以消除上面的威胁。那HSTS是如何做到的呢?需要服务器和客户端(浏览器)如何配合呢?
我们来看一下百度的请求/响应报文:
在响应头部发现了下面这一行数据:
Strict-Transport-Security: max-age=172800
参数意思:在172800秒内,浏览器只要再向百度或其子域名发送HTTP请求时,由浏览器自动转成HTTPS来发起连接。这样可以减少服务器重定向的处理和被中间人截获请求的风险。
应用原理:实施HSTS配置的网站一般是和服务器的301重定向进行配合使用,当用户第一次输入HTTP网站的时候,此时浏览器并没有转换成HTTPS网站访问,因为浏览器不知道该网站是HTTP还是HTTPS(即浏览器没有该网站的STS头部),所以浏览器发出的是HTTP请求。服务器收到HTTP请求后,重定向到HTTPS网站,再输出HSTS头部,接下来的HTTP请求,浏览器就会转换成HTTPS请求进行访问。
知道原理那我们如何抓HTTPS请求呢?请看下面的博客。
Fiddler抓取https://www.baidu.com报文