强制 HTTPS（HSTS）

什么是 HSTS

HSTS（HTTP Strict Transport Security）是一种安全策略机制，强制浏览器使用 HTTPS 与服务器建立连接。它通过响应头 Strict-Transport-Security 实现，告诉浏览器在指定时间内只能通过 HTTPS 访问该网站，即使用户手动输入 HTTP 地址也会被强制跳转到 HTTPS。

为什么需要 HSTS

HTTP 协议存在明文传输的安全隐患，攻击者可以窃听或篡改数据。虽然 HTTPS 解决了这些问题，但用户首次访问网站时可能仍通过 HTTP 连接，这给了攻击者可乘之机。HSTS 通过以下方式增强安全性：

1. 防止 SSL 剥离攻击：攻击者可能拦截 HTTP 请求并阻止 HTTPS 升级
2. 避免混合内容问题：确保所有资源都通过安全连接加载
3. 减少中间人攻击风险：强制所有通信都经过加密

HSTS 的工作原理

当浏览器首次访问支持 HSTS 的网站时，服务器会返回包含 Strict-Transport-Security 头的响应。浏览器会记录这个信息，在后续访问时自动将 HTTP 升级为 HTTPS。

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

这个响应头包含三个主要参数：

• max-age：HSTS 策略的有效期（秒）
• includeSubDomains：是否应用于所有子域名
• preload：表示网站希望被加入浏览器预加载列表

如何实现 HSTS

服务器配置示例

Nginx 配置：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Apache 配置：

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Node.js Express 示例：

const express = require('express');
const helmet = require('helmet');
const app = express();

app.use(helmet.hsts({
  maxAge: 31536000,
  includeSubDomains: true,
  preload: true
}));

前端检测 HSTS 状态

可以通过 JavaScript 检测当前页面是否通过 HSTS 加载：

if (window.location.protocol === 'https:') {
  console.log('页面通过 HTTPS 加载');
  
  // 检查是否通过 HSTS
  fetch(window.location.href, { method: 'HEAD' })
    .then(response => {
      const hstsHeader = response.headers.get('Strict-Transport-Security');
      if (hstsHeader) {
        console.log('HSTS 已启用:', hstsHeader);
      }
    });
}

HSTS 预加载列表

浏览器维护了一个 HSTS 预加载列表，包含强制使用 HTTPS 的网站。要加入这个列表需要：

1. 确保主域名和所有子域名都支持 HTTPS
2. 重定向所有 HTTP 流量到 HTTPS
3. 所有子域名都包含在 HSTS 策略中
4. 提交申请到 hstspreload.org

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

HSTS 的注意事项

1. 首次访问问题：用户首次访问时仍可能通过 HTTP 连接
2. 证书错误处理：HSTS 会阻止用户绕过证书错误警告
3. 回退困难：一旦部署，在 max-age 有效期内难以撤销
4. 测试环境：在开发环境中谨慎使用，可能导致开发困难

解决开发环境问题

对于本地开发，可以：

1. 使用自签名证书并手动信任
2. 为 localhost 配置 HTTPS
3. 临时禁用 HSTS：
   • Chrome：访问 chrome://net-internals/#hsts
   • Firefox：清除历史记录中的 HSTS 信息

# 生成自签名证书
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

HSTS 与其他安全头的配合

HSTS 通常与其他安全头一起使用，提供多层防护：

Content-Security-Policy: default-src https: 'unsafe-inline' 'unsafe-eval'
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
X-XSS-Protection: 1; mode=block

实际案例分析

某电商网站部署 HSTS 后：

1. 用户首次访问 http://example.com 被 301 重定向到 https://example.com
2. 服务器返回 HSTS 头，有效期 1 年
3. 后续访问中，即使用户输入 http://example.com，浏览器自动改为 https://example.com
4. 所有子域名（如 cdn.example.com）也强制使用 HTTPS

性能考虑

HSTS 实际上可以提升性能：

1. 减少 HTTP 到 HTTPS 的重定向
2. 启用 TLS 会话恢复和 OCSP 装订
3. 支持 HTTP/2 的浏览器要求 HTTPS

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_stapling on;
ssl_stapling_verify on;

浏览器兼容性

现代浏览器广泛支持 HSTS：

• Chrome 4+
• Firefox 4+
• Safari 7+
• Edge 12+
• Opera 12+

可以通过 caniuse.com 查看详细支持情况。

监控和报告

HSTS 支持报告功能，可以接收策略违规报告：

Strict-Transport-Security: max-age=31536000; includeSubDomains; report-uri="https://example.com/hsts-report"

报告端点需要处理 JSON 格式的报告：

app.post('/hsts-report', (req, res) => {
  const report = req.body;
  console.log('HSTS 违规报告:', report);
  // 存储或分析报告
  res.status(204).end();
});

部署策略建议

1. 先设置较短的 max-age（如 300 秒）进行测试
2. 逐步增加 max-age 到 1 年或更长
3. 确认所有子域名都支持 HTTPS 后再添加 includeSubDomains
4. 最后考虑加入预加载列表

# 测试阶段
Strict-Transport-Security: max-age=300

# 生产环境
Strict-Transport-Security: max-age=31536000; includeSubDomains