了解HSTS,当访客未声明协议进入某个网站时默认采用http协议,此后网站服务器才会将其重定向到https的网址。
这里包含一个隐患,因为第一次访问是未经过加密的,这显然不利于保护访客的隐私。
HSTS会告诉浏览器强制让此后所有的访问都必须使用https协议。
通过审核的网站还可以直接内置到主流浏览器规则中,即使该访客从未打开过你的网站,浏览也会强制TLS加密。
提交申请:https://hstspreload.org
采用cloudflare的网站可以很方便地开启HSTS。
但是要当心,你的网站必须始终开启Https,否则将没有任何人可以访问你的网站。