HTTP Strict Transport Security现在还是一个草案

详细细节见http://tools.ietf.org/html/draft-hodges-strict-transport-sec-02

Wiki见http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Chrome中的介绍见http://dev.chromium.org/sts

HSTS实际上是定义了一个header,浏览器读取到这个header后

会强制把http的请求转换成https的请求,不需要后台应用做处理

可惜现在只支持Firefox/Chrome,相信未来会支持更多的浏览器

增加的header如下:

Strict-Transport-Security: max-age=16070400; includeSubDomains

其中,max-age指定浏览器多长时间内自动对该域名使用HSTS

includeSubDomains表明包括子域名

从抓包里能看到,第一次的http请求,被浏览器给abort了,之后又重新发送一个https的请求

在max-age的有效期内,如果访问http://passport.sohu.com浏览器也会自动跳转到https://passport.sohu.com