浏览器安全协议(浏览器默认的安全协议）

长效甲状腺刺激素

背景：访问我们的域名从http改成https时，安全性能大大提高。但不代表绝对安全。

HSTS简介

HTTP严格传输安全(HSTS)是由互联网工程任务组发布的一套互联网安全策略机制。网站可以选择使用HSTS策略来强制浏览器使用HTTPS与网站通信，从而降低会话劫持的风险。

使用HSTS和不使用HSTS的区别

HSTS不适用的情况

在浏览器地址栏输入网址时，有时我们不输入https协议，浏览器默认使用http进行访问。

成功握手后，TCP返回302状态代码。

因为端口号改变了，需要重新建立连接(源IP，目的IP，源端口，目的端口，如果这四个条件有任何一个改变，都需要重新建立连接)

进行ssl认证。

出现的问题：

前两步花费的rt是没有意义的，会让用户觉得网站在感知上相应的慢。

前面不使用Https，很容易被攻击劫持。

HSTS的使用

在这个域名设置的有效期内，所有的http请求，在没有人感知的情况下，都会在浏览器内部跳转307，向网站发起https请求。

HSTS缺陷

HSTS的实现是让Strict-Transport-Security http头告诉浏览器这个域名需要使用HSTS函数。因此，第一个请求可能不可避免地需要使用http协议来访问它。具体的解决方法是使用Preload来避免第一个HTTP请求。你可以通过这个网站查看和申请https://hstspreload.org/?domain=www.facebook.com

当你的浏览器被缓存，证书异常，你的网站可能无法访问。直到证书问题得到解决或缓存被清除。

如何使用HSTS

在响应请求标头中添加Strict-Transport-Security。

设置HSTS的有效时间。

IncludeSubDomains表明它是否适用于您网站的子域。

谷歌维护着一个HSTS预加载服务。按照说明成功提交您的域名后，浏览器绝不会使用不安全的方法连接您的域名。虽然服务是由Google提供的，但是所有浏览器都有使用这个列表的意图(或者已经在使用了)。然而，这不是HSTS标准的一部分，也不应被视为正式内容。

Nginx配置

您可以在服务器块或http块中添加。

示例：

您可以在浏览器中查看相应的信息。