Https

為什麼不能在 HTTP 上發送 HSTS 標頭

  • April 3, 2017

為什麼不能在 HTTP 上發送 HSTS 標頭?

會有什麼傷害;客戶可以將其作為重定向到 https 的提示。

HTTP 請求可以被第三方操縱(緩解這是 HTTPS 的主要目的之一)。如果第三方修改 HTTP 響應以添加 HSTS 標頭會發生什麼?想像一下,這發生在一個支持 HTTPS 的站點上。客戶端現在嘗試通過不支持的 HTTPS 訪問該站點。Voilà:第三方已經完全阻止了對該站點的訪問(並且在相當長的一段時間內,如果它是一個長期的 HSTS 標頭)。

引用自:https://serverfault.com/questions/842206