HSTS安全协议那些事儿，细节和原理其实没那么复杂但挺重要

说到上网安全，我们经常会听到HTTPS这个词，知道它比HTTP更安全，因为数据是加密的，光有HTTPS就够了吗？想象一下这个场景：你第一次去一家咖啡馆，用他们的Wi-Fi登录网上银行，你确实输入的是“https://www.mybank.com”，浏览器也显示了小锁标志，一切看起来都很安全，但有没有可能，在你第一次输入的时候，有个坏人已经悄悄动了手脚，让你其实连上了一个假的银行网站呢？HSTS这个协议，就是为了彻底堵上这个“第一次”的漏洞而生的。

这个漏洞到底是什么？

这个漏洞有个专门的名字，叫做“SSL Stripping”攻击（也叫降级攻击），它的原理其实不复杂，虽然你的银行网站只支持HTTPS，但你有没有习惯性地在地址栏只输入“mybank.com”然后回车？大多数浏览器默认会帮你用HTTP协议去访问，也就是“http://mybank.com”，这时，攻击者就可以在咖啡馆的Wi-Fi上截获这个HTTP请求。

攻击者会做两件事：

1. 他假装成你，用HTTPS协议去连接真正的银行网站,建立起一个安全的通道。
2. 他继续跟你保持HTTP连接，但把所有内容（包括银行的登录页面）通过不安全的HTTP传给你。

这样一来，在你看来，网站能正常打开，也能登录，似乎没什么问题，但实际上，你和服务器之间的所有通信，都经过了攻击者的中转，而且是明文的，你的账号密码，攻击者可以看得一清二楚，问题的根源就在于，那第一次的HTTP请求是不安全的，给了攻击者“中间插一脚”的机会。

HSTS是如何充当“强制保镖”的？

HSTS，中文叫“HTTP严格传输安全协议”，它的核心作用就体现在名字里——“严格”，它不允许任何妥协，强制浏览器只能使用HTTPS与网站进行通信，它就像一个非常严格的保镖，一旦他认识了这个网站,就再也不允许你用不安全的方式接近它。

它的工作原理分为两步：

第一步：网站发出“保镖指令”。 当你第一次用HTTPS成功访问一个网站时（比如你手动输入了完整的https://www.mybank.com），这个网站会在它的响应头里包含一个特殊的指令，叫做Strict-Transport-Security,这个指令告诉浏览器两件重要的事：

• max-age：在接下来的多长时间内（比如一年）,你都必须用HTTPS来访问我。
• 可能还包括一个指令 includeSubDomains：我所有的子域名（比如login.mybank.com, api.mybank.com）也必须遵守这个规定。

浏览器收到这个指令后，就会默默地记在小本本上（也就是本地缓存里），这就是“保镖”上岗的时刻。

第二步：浏览器自动执行“强制跳转”。 从今往后，只要在指令的有效期内，无论你以任何方式尝试访问这个网站——无论是输入mybank.com，还是点击一个指向http://mybank.com的链接——你的浏览器都会在内部自动、强制性地将地址重写为https://mybank.com,然后再发起连接。

这个跳转发生在浏览器内部，远在任何网络请求发出之前，这样一来，SSL Stripping攻击就彻底失效了，因为攻击者根本截获不到那个初始的、不安全的HTTP请求,保镖在门口就直接把你带到了安全通道上。

HSTS的两个高级技能

除了这个核心机制，HSTS还有两个非常重要的“安全加固”选项：

1. 包含子域名 (includeSubDomains)：这个前面提过，它非常重要，如果没有这个选项，攻击者可能还会去攻击你的子域名，比如http://cdn.mybank.com，如果这个子域名恰好存在安全漏洞，同样可能危及主站，开启这个选项后,整个域名家族都受到了保护。

2. 预加载列表 (Preload List)：HSTS机制有个明显的“第一次”问题——如果一个人这辈子第一次访问mybank.com，他的浏览器里还没有HSTS指令，那不就还是不安全吗？为了解决这个“处女航”问题，浏览器厂商（如Chrome, Firefox, Edge）共同维护了一个“HSTS预加载列表”，网站所有者可以主动申请将自己的域名加入这个列表，一旦被收录，这个域名就会直接内置在浏览器的代码里，这意味着，即使你从未访问过这个网站，你的浏览器从一开始就知道必须用HTTPS访问它,这个预加载列表是HSTS协议最终变得无比坚固的关键一环。

总结一下

HSTS协议做的事，其实就是把一个“最好用HTTPS”的良好建议，变成了一个“必须用HTTPS，没有商量余地”的强制规定，它通过一个简单的服务器指令，让浏览器在本地建立起一道坚固的防线，专门防范那种利用第一次HTTP连接发起的降级攻击，虽然它的原理说起来不复杂，但正是这种简洁有效的设计，极大地提升了我们日常浏览网页的安全性，是构建现代Web安全不可或缺的一块基石，现在很多大型网站（如谷歌、Facebook、各大银行）都已经默认开启了HSTS并加入了预加载列表，在你不知不觉中，它已经为你抵挡了无数次潜在的攻击。 参考和整合了普遍存在的Web安全知识，特别是关于SSL Stripping攻击和HSTS协议的通用技术说明，这些常见于如OWASP基金会、MDN Web Docs以及各大浏览器厂商的安全公告等公开技术文档中。）