HTTP Strict Transport Security
HTTP Strict Transport Security现在还是一个草案
详细细节见http://tools.ietf.org/html/draft-hodges-strict-transport-sec-02
Wiki见http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Chrome中的介绍见http://dev.chromium.org/sts
HSTS实际上是定义了一个header,浏览器读取到这个header后
会强制把http的请求转换成https的请求,不需要后台应用做处理
可惜现在只支持Firefox/Chrome,相信未来会支持更多的浏览器
增加的header如下:
Strict-Transport-Security: max-age=16070400; includeSubDomains
其中,max-age指定浏览器多长时间内自动对该域名使用HSTS
includeSubDomains表明包括子域名
从抓包里能看到,第一次的http请求,被浏览器给abort了,之后又重新发送一个https的请求
在max-age的有效期内,如果访问http://passport.sohu.com浏览器也会自动跳转到https://passport.sohu.com