什么是HSTS？

HSTS是国际互联网工程组织 IETF 正在推行一种新的 Web 安全协议，网站采用 HSTS 后，用户访问时无需手动在地址栏中输入 HTTPS，浏览器会自动采用 HTTPS 访问网站地址，从而保证用户始终访问到网站的加密链接，保护数据传输安全。

HSTS操作原理：

1、需要在服务器响应头中添加 HSTS，只有在 HTTPS访问返回时才生效。

2、之后设置Max-age参数，设置的时间建议是6个月，不要设置时间太长。

3、如果用户访问使用HTTP，客户端会自动进行内部跳转，并且能够看到 307 Redirect Internel 的响应码。

4、网站服务器变成了 HTTPS 访问源服务器。

网站开启HSTS的作用：

1、预防SSLStrip 的中间人攻击，有效避免了中间人对 80 端口的劫持。

2、如果证书出现错误，则显示错误，用户不能回避警告。

3、为浏览器节省来一次 302/301 的跳转请求，大大提升安全系数和用户体验。

4、节省 HTTPS 通信 RT 和强制使用 HTTPS 。

阅读本文的人还可以阅读：

HTTPS是什么，如何部署HTTPS？

如何正确启用HTTPS?为什么要启用HTTPS访问？

什么是RPC协议？RPC协议与HTTP协议的区别