1. StackOverflow 文件
  2. https 教程
  3. HTTP 嚴格傳輸安全(HSTS)
  4. HSTS 標題

HSTS 標題

Created: November-22, 2018 

Strict-Transport-Security: max-age=31536000; includeSubDomains

Strict-Transport-Security 是對瀏覽器的一種承諾,即對該域的所有未來請求都是安全的。
對於未來時期 max-age

  • 來自瀏覽器的所有傳出 HTTP 請求都將在客戶端上轉換為 HTTPS (而不是 HTTP 重定向)。
  • 如果證書無效(例如過期或自我簽名),則使用者將無法將其列入白名單,並且該站點仍將無法訪問。

HSTS 行為旨在消除使用 HTTPS 剝離,釋出無效證書(並期望使用者新增和異常)以及將 HTTP 請求重定向到另一個目標的中間人攻擊。