HSTS

释义 Definition

HSTS（HTTP Strict Transport Security，HTTP 严格传输安全）：一种网站安全机制/响应头策略，要求浏览器在一段时间内只用 HTTPS 访问该域名（并可包含子域），以降低被降级到 HTTP 或遭受中间人攻击的风险。

发音 Pronunciation (IPA)

/ˌeɪtʃ tiː ɛs tiː ɛs/

例句 Examples

The site uses HSTS to force HTTPS.
该网站使用 HSTS 来强制走 HTTPS。

After we enabled HSTS with a long max-age and included subdomains, users stopped hitting insecure HTTP links and the risk of SSL-stripping attacks dropped significantly.
在我们启用较长的 max-age 并包含子域名的 HSTS 后，用户不再通过不安全的 HTTP 链接访问，SSL 降级（剥离）攻击的风险也显著降低。

词源 Etymology

HSTS 是缩写，来自 HTTP Strict Transport Security。它作为 Web 安全标准由 IETF 推动并发布在 RFC 6797（2012） 中；核心思想是让浏览器“记住”某域名必须用 HTTPS，从而避免被诱导回到不安全的 HTTP。

相关词 Related Words

• HTTPS
• HTTP
• TLS
• Certificate
• Security
• Header
• Preload
• Browser
• Redirect
• Mitm

文献与作品 Literary Works

• *RFC 6797: HTTP Strict Transport Security (HSTS)*（IETF 标准文档）
• *RFC 7230–7235: Hypertext Transfer Protocol (HTTP/1.1)*（HTTP 相关标准，常与 HSTS 一起被引用）
• Web Security for Developers（安全开发类书籍，常讨论 HSTS 与安全响应头）
• High Performance Browser Networking（涉及浏览器网络栈与 HTTPS/HSTS 等主题）