【实战】Web 网站安全增强之 HSTS 协议

小渣渣

HSTS 简介

HSTS的全称是HTTP Strict-Transport-Security，它是一个Web安全策略机制（web security policy mechanism）。
HSTS最早于2015年被纳入到ThoughtWorks技术雷达，并且在2016年的最新一期技术雷达里，它直接从“评估（Trial）”阶段进入到了“采用（Adopt）“阶段，这意味着ThoughtWorks强烈主张业界积极采用这项安全防御措施，并且ThoughtWorks已经将其应用于自己的项目。
HSTS最为核心的是一个HTTP响应头（HTTP Response Header）。正是它可以让浏览器得知，在接下来的一段时间内，当前域名只能通过HTTPS进行访问，并且在浏览器发现当前连接不安全的情况下，强制拒绝用户的后续访问要求。

采用 HSTS 策略的网站将保证浏览器始终连接到该网站的 HTTPS 加密版本，不需要用户手动在 URL 地址栏中输入加密地址，从而减少会话劫持风险。

HTTPS(SSL和TLS)确保用户和网站通讯过程中安全，使攻击者难于拦截、修改和假冒。当用户手动输入域名或http://链接，该网站的第一个请求是未加密的，使用普通的http。最安全的网站立即发送回一个重定向使用户引向到https连接，然而，中间人攻击者可能会攻击拦截初始的http请求，从而控制用户后续的回话。

HSTS 原理

HSTS 主要是通过服务器发送响应头的方式来控制浏览器操作：
当客户端通过 HTTPS 发出请求时，服务器会在返回的 HTTP 响应头中包含 Strict-Transport-Security 字段。
浏览器接收到这样的信息之后，在一定期限内对该网站的任何请求都会以 HTTPS 发起，而不会以 HTTP 发起再由服务器重定向到 HTTPS。

HSTS 响应头格式

登录可见。

参数说明：

max-age（单位是秒）：用来告诉浏览器在指定时间内，这个网站必须通过 HTTPS 协议来访问。也就是对于这个网站的 HTTP 地址，浏览器需要先在本地替换为 HTTPS 之后再发送请求。
includeSubDomains（可选参数）：如果指定这个参数，表明这个网站所有子域名也必须通过 HTTPS 协议来访问。
preload（可选参数）：一个浏览器内置的使用 HTTPS 的域名列表。

HSTS 预载入列表（HSTS Preload List）

虽然 HSTS 可以很好的解决 HTTPS 降级攻击，但是对于 HSTS 生效前的首次 HTTP 请求，依然无法避免被劫持。浏览器厂商们为了解决这个问题，提出了 HSTS Preload List 方案。(略)

IIS 配置

没有配置之前，访问网站如下图：



要在 IIS7+ 中实现此功能，只需在 web.config 中添加 HSTS 的 CustomHeader 要求即可，配置如下：

登录可见。

修改之后，重新访问网站，如下图：



Nginx 配置

如果网站使用了 nginx 反向代理，也可以直接配置 nginx 来实现，配置如下：

登录可见。

Chrome 查看规则

查看当前的 HSTS 规则，使用谷歌浏览器 chrome 输入 chrome://net-internals/#hsts 回车即可，如下图：



参考

HTTP 严格传输安全：https://www.chromium.org/hsts/

（完）

飞鱼

学习一下

qiuyueming

学习学习