hsts

Strict-Transport-Security(HSTS) HTTP 头可以告诉浏览器使用强制的更高安全控制，比如当访问到的 SSL/TLS 证书异常时，浏览器会拒绝让用户添加例外（如下图，没有 HSTS 头的时候，Firefox 会有个让用户添加例外的选项，用户可以忽略这个证书异常，继续访问网站。如果是下图的情况，用户登录了这个伪装为 onedrive 的网站，恐怕后果就很严重了），或者是让浏览器以后都默认使用 TLS 协议访问这个网站，而不用再通过 80 端口去重定向（这个时候也是很容易被攻击的）。 经过检查，Chrome 或者 Firefox 都有此问题，但是 IE 却没有，所以可以怀疑是浏览器这头做的跳转

中间人攻击不仅发生在设备-服务器通信期间，而且还可能发生在两个系统虚拟交换数据的任何地方。那么如何防止这种攻击呢？可以采取以下方法： 1）确保您访问的网站在URL前面有HTTPS，也就是部署由权威CA机构颁发的SSL证书； 2）在单击电子邮件之前，请检查电子邮件的发件人，不要点击恶意链接或电子邮件； 3）如果您是网站管理员，则应实施HSTS； 4）请勿在公共 Wi-Fi 网络上购买或发送敏感数据； 5）如果您的网站使用SSL，请确保您已禁用不安全的 SSL/TLS 协议； 6）请勿下载盗版内容； 7）在您的系统上安装适当的安全工具。

在安装配置 SSL 证书时，可以使用一种能使数据传输更加安全的Web安全协议，即在服务器端上开启HSTS (HTTP Strict Transport Security)。它告诉浏览器只能通过HTTPS访问，而绝对禁止HTTP方式。 但是，在日常开发的过程中，有时我们会想测试页面在 HTTP 连接中的表现情况，这时 HSTS 的存在会让调试不能方便的进行下去

在安装配置 SSL 证书时，可以使用一种能使数据传输更加安全的Web安全协议，即在服务器端上开启HSTS(HTTP Strict Transport Security)。它告诉浏览器只能通过HTTPS访问，而绝对禁止HTTP方式。 但是，在日常开发的过程中，有时我们会想测试页面在 HTTP 连接中的表现情况，这时 HSTS 的存在会让调试不能方便的进行下去