HTTP嚴格傳輸安全（英語：HTTP?Strict?Transport?Security，縮寫：HSTS）是一套由互聯網工程任務組發布的互聯網安全策略機制。網站可以選擇使用HSTS策略，來讓瀏覽器強制使用HTTPS與網站進行通信，以減少會話劫持風險。

HSTS的作用是強制客戶端（如瀏覽器）使用HTTPS與服務器創建連接。服務器開啟HSTS的方法是，當客戶端通過HTTPS發出請求時，在服務器返回的超文本傳輸協議（HTTP）響應頭中包含Strict-Transport-Security字段。非加密傳輸時設置的HSTS字段無效，因為未加密的http內容可能被惡意攻擊者篡改導致無法驗證是否是服務器發出的消息，無法保證服務器可以建立https通信。

比如，https://example.com/ 的響應頭含有Strict-Transport-Security: max-age=31536000; includeSubDomains。這意味著兩點：

在接下來的31536000秒（即一年）中，瀏覽器向example.com或其子域名發送HTTP請求時，必須采用HTTPS來發起連接。比如，用戶點擊超鏈接或在地址欄輸入 http://www.example.com/ ，瀏覽器應當自動將 http 轉寫成 https，然后直接向 https://www.example.com/ 發送請求。

在接下來的一年中，如果 example.com 服務器發送的TLS證書無效，用戶不能忽略瀏覽器警告繼續訪問網站。

語法如下：

Strict-Transport-Security: max-age=<expire-time> Strict-Transport-Security: max-age=<expire-time>; includeSubDomains Strict-Transport-Security: max-age=<expire-time>; preload

總結

以上是生活随笔為你收集整理的HSTS的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。