什么是HSTS？

HSTS是國際互聯網工程組織 IETF 正在推行一種新的 Web 安全協議，網站采用 HSTS 后，用戶訪問時無需手動在地址欄中輸入 HTTPS，瀏覽器會自動采用 HTTPS 訪問網站地址，從而保證用戶始終訪問到網站的加密鏈接，保護數據傳輸安全。

HSTS操作原理：

1、需要在服務器響應頭中添加 HSTS，只有在 HTTPS訪問返回時才生效。

2、之后設置Max-age參數，設置的時間建議是6個月，不要設置時間太長。

3、如果用戶訪問使用HTTP，客戶端會自動進行內部跳轉，并且能夠看到 307 Redirect Internel 的響應碼。

4、網站服務器變成了 HTTPS 訪問源服務器。

網站開啟HSTS的作用：

1、預防SSLStrip 的中間人攻擊，有效避免了中間人對 80 端口的劫持。

2、如果證書出現錯誤，則顯示錯誤，用戶不能回避警告。

3、為瀏覽器節省來一次 302/301 的跳轉請求，大大提升安全系數和用戶體驗。

4、節省 HTTPS 通信 RT 和強制使用 HTTPS?。