1. StackOverflow 文档
  2. https 教程
  3. HTTP 严格传输安全(HSTS)
  4. HSTS 标题

HSTS 标题

Created: November-22, 2018 

Strict-Transport-Security: max-age=31536000; includeSubDomains

Strict-Transport-Security 是对浏览器的一种承诺,即对该域的所有未来请求都是安全的。
对于未来时期 max-age

  • 来自浏览器的所有传出 HTTP 请求都将在客户端上转换为 HTTPS (而不是 HTTP 重定向)。
  • 如果证书无效(例如过期或自我签名),则用户将无法将其列入白名单,并且该站点仍将无法访问。

HSTS 行为旨在消除使用 HTTPS 剥离,发布无效证书(并期望用户添加和异常)以及将 HTTP 请求重定向到另一个目标的中间人攻击。