给网站添加HSTS

#https #hsts #杂谈

## HSTS是一段时间内强制客户端使用https链接的协议,只要在服务器返回给浏览器的响应头中,增加Strict-Transport-Security这个HTTP Header,如: Strict-Transport-Security: max-age=31536000; 当然,要求安全hsts还不够,第一次握手还是http,所以有了hstsproload [https://hstspreload.org/?domain=fullstack.love](https://hstspreload.org/?domain=fullstack.love) 在这里申请,审核之后,如果设置了hstshead,浏览器就会知道该域名第一次使用https连接,当出现证书错误时也不会有安全提示,而是直接禁止访问。 不过为什么要用hsts,如果是为了安全了话,网站可以只开启443端口,但是很多用户首先尝试的是http访问,为了这一部分流量…我倒觉得与其维护一份日益正想的预载列表,为什么不把https作为默认访问方式,然后需要80访问的网站申请呢…

上一篇