HTTP严格传输安全性 (HSTS)是一种网络安全策略机制,旨在保护HTTPS网站免受降级攻击和cookie劫持。 配置为使用HSTS的Web服务器指示Web浏览器(或其他客户端软件)仅使用HTTPS连接,并禁止使用HTTP协议。
该指令称为“ HSTS策略”,并使用HTTP响应标头字段(作为对连接的初始请求的一部分)发送给客户端(Strict-Transport-Security
)。 服务器的HSTS策略包括客户端应将指令缓存多长时间,以及子域是否也仅使用HTTPS。
HSTS是HTTPS协议的永久组成部分,并在 RFC 6797.