HSTS

Also known as: HTTP 严格传输安全, Strict-Transport-Security

这是你的网站发给浏览器的一条规则，意思是「永远只用安全方式连我」——堵住攻击者用来截获那次毫无保护的首次访问的漏洞。

它是什么

HSTS 是 HTTP Strict Transport Security（HTTP 严格传输安全）的缩写。它是你的网站在访客第一次连接时发给浏览器的一条简短指令，意思是：「从现在起，只能用安全方式连我——绝不能走未加密的连接。」 浏览器会记住这条规则，并在以后每一次访问时自动执行。

即便你的网站持有有效证书，在那次最最初的连接里——也就是安全版本生效之前——仍存在一丝风险。同一网络上的攻击者可以利用这一瞬间，悄悄把访客引到一个假冒或未加密的网站副本上，并截取他们输入的内容。

HSTS 消除了这个空档。一旦浏览器被告知这条规则，它就完全拒绝以不安全的方式连接——攻击者再也没有可乘之机。对你的客户来说它是无形的；对你来说，它是一次安静的、一劳永逸的加固，保护着此后每一次回访。

我们的免费检测工具会告诉你网站是否已开启 HSTS。如果还没开，HSTS 修复指南会讲解如何安全地启用它——这是一个由网站管理者添加的小设置，而且免费。（最好在网站已经能完全通过安全连接正常运行之后再开启，指南里有具体说明。）

Want to fix this on your own domain? See the free guide →