HTTPS是以安全为目标的HTTP通道，HSTS你知道是什么吗？

HSTS全称是HTTP Strict Transport Security，是一种网络安全的策略，能够防止协议降级、流量劫持等攻击，在阿里云SSL设置里面可以看到HSTS。

25b551ba844731f061749a74d3691975.jpg

下面继续说一下，Web服务器通过该响应头声明后，Web浏览器或其他的客户端只能通过安全HTTPS连接与其进行交互，服务器通过HTTPS的响应头实现HSTS策略，浏览器会忽略通过HTTP响应头定义的HSTS策略，该响应头可以添加的值如下所示：

1、max-age=seconds

是否可选：必选；

描述：HSTS头作用的时间，最大值为31536000，即一年时间；

2、includeSubDomains

是否可选：可选

描述：指定该参数后，HSTS头将作用于网站所有的子域名；

3、preload

是否可选：可选

描述：指定该参数后，会将HSTS头的设置记录在一个由Google维护的预加载列表中，加载该列表的浏览器会将默认该域名启用HSTS，该值可能将会永久的阻止用户以HTTP的方式访问网站所有域名，因此要谨慎使用该域名。