为什么我们要使用新型Web安全协议HSTS？

由于HSTS会在一定时间后失效（有效期由max-age指定），所以浏览器是否强制HSTS策略取决于当前系统时间。部分操作系统经常通过网络时间协议更新系统时间，如Ubuntu每次连接网络时，OS X Lion每隔9分钟会自动连接时间服务器。攻击者可以通过伪造NTP信息，设置错误时间来绕过HSTS。解决方法是认证NTP信息，或者禁止NTP大幅度增减时间。比如Windows 8每7天更新一次时间，并且要求每次NTP设置的时间与当前时间不得超过15小时

0×04. 我的一些测试

1). 测试1

目标域名：portal.fraudmetrix.cn (这个站点不支持hsts功能) 同盾科技的风险控制管理系统(打个软广，同盾科技，基于大数据，专注反欺诈)。

第一次访问：在浏览器地址栏键入：portal.fraudmetrix.cn

可以看到:

这个域名并不在chrome浏览器的hsts的缓存中，也不在hsts中的preload list中(像facebook、twitter等网站已经内置在preload list中，所以每次请求这些站点的时候浏览器都会自动将http 转换成htttps)，所以不会在发送请求前将http转换成https请求。

我们来把这个站点手动加入到chrome浏览器的hsts缓存中：

在未清空chrome浏览器历史记录的前提下，我们再次访问这个站点：

可以看到，一个307 响应码，这是chrome浏览器的内部转换，将http转换成https后再发送请求。

备注：为什么我们要求在未清空chrome浏览器的缓存前访问呢？

因为如果清空了chrome浏览器的缓存之后，我们手动加入到hsts缓存中的域名就会被清除，也就不会看到预期的效果了。

2). 测试2

我们先清空chrome浏览器的缓存，然后在浏览器的地址栏中键入 www.alipay.com 

可以看到www.alipay.com(支付宝)这个站点并没有在chrome 浏览器的内置的preload list中，所以第一次访问的时候，chrome浏览器并不会将http转换成https。

而是由前端的F5的负载均衡(BigIP)器将http请求重定向到https请求。

（编辑：济南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!