开启HSTS(HTTP Strict Transport Security)

HSTS(HTTP Strict Transport Security) 的作用就是,当你使用了一次之后,浏览器就会记住这个选项,之后都是直接访问HTTPS。

原理是通过设置一个头部:Strict-Transport-Security: max-age=15552000; includeSubDomains。格式是 Strict-Transport-Security: max-age=<过期时间>; includeSubDomains, 其中 includeSubDomains 是可选的,<过期时间> 是在多少秒之后过期的意思。

如果一个网站同时提供HTTP和HTTPS两种服务,那么只要访问过HTTPS服务,在所设置的HSTS过期之前,浏览器都会直接访问HTTPS,这样 可以在一定程度上保证数据传输的安全。但是缺点也很明显,如果用户第一次访问的时候是访问HTTP服务,那么就可以在这一步进行中间人 攻击,把重定向服务中的 https:// 替换成 http://,这样就仍然可以监听所传输的数据。

解决方案是关闭HTTP服务,把所有的HTTP服务都重定向到HTTPS,例如Nginx中这样配置:

server {
    listen 80;

    limit_req zone=perip burst=10 nodelay;
    access_log /var/log/nginx/jiajunhuang.com.access.log;
    error_log /var/log/nginx/jiajunhuang.com.error.log;

    server_name jiajunhuang.com;

    if ($scheme != "https") {
        return 301 https://$host$request_uri;
    }
}

而Nginx中可以通过增加头部来实现HSTS:

server {
    listen 443 ssl;
    server_name www.example.com;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

如何关闭HSTS?

如果你的网站不再提供HTTPS,而你想关闭HSTS,那么必须要:

  • 停止增加 Strict-Transport-Security 这个头部
  • 从停止增加头部开始,等待 <过期时间> 那么久之后,也就是所有浏览器里的配置都已经失效了之后,关闭HTTPS

参考资料:


更多文章
  • Go类型嵌套
  • etcd源码阅读与分析(五):mvcc
  • etcd源码阅读与分析(四):lease
  • 干了这碗叔本华牌毒鸡汤 --- 《人生的智慧》
  • etcd源码阅读与分析(三):wal
  • Memory leak in net/http
  • etcd源码阅读与分析(二):raft
  • etcd源码阅读与分析(一):raftexample
  • 虚拟机里的Ubuntu sudo时卡住
  • Go访问私有变量
  • Raft论文阅读笔记
  • 避免全局变量
  • Go的unsafe包
  • Golang中实现禁止拷贝
  • 人生如戏,全靠演技 -- 《日常生活中的自我呈现》读后感