HTTP严格传输安全（HSTS）详解 一、知识点描述 HTTP严格传输安全（HTTP Strict Transport Security, HSTS）是一种Web安全策略机制。它的核心目的是强制客户端（如浏览器）与服务器之间的通信必须通过安全的HTTPS连接进行，从而有效防御某些网络攻击，特别是SSL剥离攻击（SSL Stripping）。当网站启用了HSTS，浏览器会在后续访问中自动将不安全的HTTP请求转换为HTTPS请求，即使用户在地址栏中输入的是 http:// 。 二、为什么需要HSTS？ 要理解HSTS的必要性，我们需要先了解一个它旨在解决的关键威胁：SSL剥离攻击。 攻击场景 ：假设用户习惯性地在浏览器输入 example.com （默认是HTTP）。用户与目标服务器之间有一个恶意的中间人（如在一个不安全的公共Wi-Fi上）。 攻击过程 ： 用户向 http://example.com 发起请求。 中间人截获这个HTTP请求，但并不将其转发给真正的服务器。 中间人代替用户，与 https://example.com 服务器建立一个正常的HTTPS连接。 服务器将内容返回给中间人，中间人解密后，再通过不安全的HTTP连接将未加密的内容返回给用户。 攻击结果 ：从用户的视角看，网站可以正常访问，但浏览器地址栏显示的是 http:// ，并且没有安全锁图标。然而，用户与服务器之间的所有通信（包括密码、Cookie等敏感信息）都在中间人的控制之下，以明文传输。用户可能因为习惯或未注意而继续操作，导致信息泄露。 HSTS就是为了从根本上杜绝这种“第一次”不安全的HTTP连接被利用的可能性。 三、HSTS的工作原理 HSTS的实现依赖于一个特殊的HTTP响应头： Strict-Transport-Security 。 服务器的指令下达 ： 当网站希望客户端启用HSTS策略时，它会在通过HTTPS返回的响应中包含 Strict-Transport-Security 头。这是一个“指令”，告诉浏览器应该如何行为。 响应头格式 ： Strict-Transport-Security: max-age=<expire-time>; includeSubDomains; preload max-age=<expire-time> ： 必需参数 。指定HSTS策略的有效期，单位是秒。例如， max-age=31536000 表示一年内浏览器访问该网站都必须使用HTTPS。 includeSubDomains ： 可选参数 。如果指定此参数，则此HSTS策略同样适用于该网站的所有子域名。例如，为 example.com 设置HSTS并包含 includeSubDomains ，那么访问 www.example.com 、 api.example.com 等也必须使用HTTPS。 preload ： 可选参数 。这是一个更进一步的强化机制，后面会详细解释。 浏览器的行为（核心流程） ： 步骤一：首次访问与策略接收 用户第一次访问 https://example.com （注意，必须是HTTPS），服务器在响应中返回 Strict-Transport-Security: max-age=31536000; includeSubDomains 。 浏览器收到这个头后，会将其记录下来。这意味着浏览器为 example.com 创建了一条HSTS策略，有效期一年。 步骤二：后续访问的强制升级 在HSTS策略的有效期内，当用户再次尝试访问 http://example.com （即使用户手动输入HTTP链接），浏览器的HSTS机制会在请求发出前立即介入。 浏览器不会真正发起这个不安全的HTTP请求。相反，它会在内部自动将 http:// 方案（Scheme）和80端口转换为 https:// 方案和443端口，然后直接向服务器发起HTTPS请求。 步骤三：失效与更新 一旦超过 max-age 指定的时间，这条HSTS策略就会失效。浏览器会恢复默认行为，即允许发起HTTP请求。为了保持策略持续有效，服务器需要在每次HTTPS响应中再次发送 Strict-Transport-Security 头，以刷新有效期。 四、HSTS的强化：Preload列表 虽然HSTS很有效，但它仍然存在一个“首次访问”漏洞。如果用户 这辈子第一次 访问 example.com 时，攻击者就实施了SSL剥离，那么浏览器根本收不到那个包含HSTS头的HTTPS响应，因此策略无法建立。 为了解决这个“首次访问”问题，HSTS Preload机制被提出。 什么是Preload列表？ 这是一个由Google维护的硬编码列表，内置于Chrome、Firefox、Edge、Safari等主流浏览器中。列表中的网站在浏览器出厂时就被标记为“必须强制使用HTTPS”。 工作原理 ： 网站所有者需要访问 hstspreload.org ，提交自己的网站域名（如 example.com ），并确保其HSTS头满足严格的要求（例如， max-age 至少31536000秒，必须包含 includeSubDomains 和 preload 指令）。 经过审核后，该域名会被加入到官方的Preload列表中。 后续发布的浏览器版本会包含这个更新后的列表。 从此，即使用户是第一次访问 https://example.com ，浏览器在本地查询Preload列表后发现该域名在其中，会直接强制使用HTTPS，彻底消除了“首次访问”漏洞。 重要注意事项 ： 提交需谨慎 ：一旦域名被加入Preload列表，几乎不可能撤销。这需要网站及其所有子域名都永久准备好提供HTTPS服务。如果撤销，需要等待很长时间直到所有用户的浏览器更新到不包含你域名的版本。 包含所有子域名 ：Preload要求必须使用 includeSubDomains 指令。 五、部署HSTS的步骤 确保全站HTTPS ：这是前提条件。你的网站必须能够通过HTTPS正常访问所有资源。 配置Web服务器 ：在服务器的HTTPS站点配置中添加 Strict-Transport-Security 响应头。 Nginx示例 ：在 server 块中添加 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; （注意 always 参数确保即使有错误也返回此头）。 Apache示例 ：在虚拟主机配置中添加 Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" 。 测试 ：使用浏览器开发者工具（F12）查看网络请求，确认响应头中包含 Strict-Transport-Security 且值正确。 （可选）提交Preload ：如果确定长期使用HTTPS，可以考虑在 hstspreload.org 提交域名，以获取最高级别的安全保护。 总结 HSTS是一种强大的安全策略，通过简单的HTTP响应头实现，能有效防止SSL剥离等中间人攻击，强制使用加密连接。其核心在于“指令”和“浏览器本地强制”。而Preload列表进一步弥补了其“首次访问”的弱点，提供了开箱即用的安全保障。在部署时，务必从较短的 max-age 开始测试，确认无误后再延长有效期并考虑提交Preload。