Lenne Asked: 2017-04-04 02:30:28 +0800 CST2017-04-04 02:30:28 +0800 CST 2017-04-04 02:30:28 +0800 CST 为什么不能在 HTTP 上发送 HSTS 标头 772 为什么不能在 HTTP 上发送 HSTS 标头? 会有什么伤害;客户可以将其作为重定向到 https 的提示。 https 1 个回答 Voted Best Answer TRiG 2017-04-04T02:35:14+08:002017-04-04T02:35:14+08:00 HTTP 请求可以被第三方操纵(缓解这是 HTTPS 的主要目的之一)。如果第三方修改 HTTP 响应以添加 HSTS 标头会发生什么?想象一下,这发生在一个不支持 HTTPS 的站点上。客户端现在尝试通过不支持的 HTTPS 访问该站点。Voilà:第三方已经完全阻止了对该站点的访问(并且在相当长的一段时间内,如果它是一个长期的 HSTS 标头)。
HTTP 请求可以被第三方操纵(缓解这是 HTTPS 的主要目的之一)。如果第三方修改 HTTP 响应以添加 HSTS 标头会发生什么?想象一下,这发生在一个不支持 HTTPS 的站点上。客户端现在尝试通过不支持的 HTTPS 访问该站点。Voilà:第三方已经完全阻止了对该站点的访问(并且在相当长的一段时间内,如果它是一个长期的 HSTS 标头)。