Defaults.Exposed › 術語表 › HSTS
HSTS
又稱: HTTP 嚴格傳輸安全, Strict-Transport-Security
這是你的網站發給瀏覽器的一條規則,意思是「永遠只用安全方式連我」——堵住攻擊者用來截獲那次毫無保護的首次訪問的漏洞。
它是什麼
HSTS 是 HTTP Strict Transport Security(HTTP 嚴格傳輸安全)的縮寫。它是你的網站在訪客第一次連線時發給瀏覽器的一條簡短指令,意思是:「從現在起,只能用安全方式連我——絕不能走未加密的連線。」 瀏覽器會記住這條規則,並在以後每一次訪問時自動執行。
為什麼這關係到你的生意
即便你的網站持有有效憑證,在那次最最初的連線裡——也就是安全版本生效之前——仍存在一絲風險。同一網路上的攻擊者可以利用這一瞬間,悄悄把訪客引到一個假冒或未加密的網站副本上,並截取他們輸入的內容。
HSTS 消除了這個空檔。一旦瀏覽器被告知這條規則,它就完全拒絕以不安全的方式連線——攻擊者再也沒有可乘之機。對你的客戶來說它是無形的;對你來說,它是一次安靜的、一勞永逸的加固,保護著此後每一次回訪。
怎麼判斷 / 該怎麼做
我們的免費檢測工具會告訴你網站是否已開啟 HSTS。如果還沒開,HSTS 修復指南會講解如何安全地啟用它——這是一個由網站管理者添加的小設定,而且免費。(最好在網站已經能完全通過安全連線正常運行之後再開啟,指南裡有具體說明。)
想在你自己的網域上修復這一點嗎? 查看免費指南 →