一种能够帮助HTTPS网站更好地抵御各种类型攻击的Web安全政策机制已经作为互联网标准被批准和发布，但除了一些高知名度的网站的支持外，其他网站的部署率仍然很低。

HTTP严格传输安全协议(HSTS，Strict Transport Security)允许网站只接受通过HTTPS(安全HTTP)的连接，该协议的目的是防止黑客迫使用户通过HTTP连接或者滥用HTTPS部署中的错误来破坏内容完整性。

负责开发和推广互联网标准的互联网工程任务组(IETF)近日发布了HSTS规范作为正式标准文件RFC 6797。IETF的网络安全工作组自2010以来一直在研究该协议，该协议最初由Paypal的Jeff Hodges、卡内基梅隆大学的Collin Jackson和谷歌的Adam Barth作为草案提交。

HSTS防止所谓的混合内容问题影响HTTPS网站的安全性和完整性。当被嵌入到HTTPS网站脚本或者其他资源从第三方地点通过不安全连接加载时，就会出现混合内容问题，这可能是开发错误或者是故意的。

当浏览器加载不安全资源时，它会通过普通的HTTP发出请求，也可能会一起发送用户的会话cookie。攻击者可以使用网络嗅探技术来拦截这个请求，然后使用用户的cookie来攻击用户的账户。

HSTS机制还可以抵御中间人攻击，在这种攻击中，攻击者试图拦截用户到网站的连接，强制用户的浏览器访问该网站的HTTP版本，而不是HTTPS版本。这项技术被称为HTTPS或者SSL分离，并有很多工具可以自动执行。

当浏览器通过HTTPS连接到支持HSTS的网站时，该网站的严格传输安全协议将被保存(在指定的一段时间内)。从这个时候起，只要缓存的政策没有过期，浏览器都会拒绝启动与该网站的不安全连接。

HSTS政策通过HTTP响应表头域(被称为Strict-Transport-Security)来传输，相同的表头也可以用于更新政策。

安全公司Qualys工程主管Ivan Ristic表示，HSTS对于SSL来说是一件极好的事情，因为在它修复了18年前该协议最初设计时存在的一些错误，并且，它还根据web浏览器运行方式的改变而做出了调整。

例如，依赖于证书警告是一个大错误，因为用户养成了忽视和覆盖它们的习惯。在大多数情况下，这不是一个大问题，但即使是1%的情况，这也是危险的。

HSTS不依赖于证书警告。如果在HTTPS部署中检测到问题，浏览器会简单地拒绝连接，不会为用户提供机会来覆盖这个决定。

即使对于启用HSTS的网站，仍然存在很小的攻击机会，例如，当浏览器第一次访问网站，而没有为其保存HSTS政策时。在这种情况下，攻击者可以阻止它到达HTTPS版本的网站，而强迫使用HTTP连接。

为了解决这个问题，Chrome和Firefox等浏览器具有预加载流行网站列表，在默认情况下，这些网站将会强制执行HSTS。

根据SSL Pulse(监测世界上访问量最大网站的HTTPS部署情况的项目)像是，在前18万启用HTTPS的网站中，只有1700支持HSTS。

Ristic表示，出了整体HSTS部署率偏低外，一些网站仍然在支持存在执行问题的功能。

例如，一些只为HSTS政策指定很短的有效期(也被称为生存时间)。如果要确保HSTS的有效性，有效期至少应该要几天，如果无法达到几个月的话。

Ristic不认为HSTS成为正式互联网标准的事实一定能够推动部署率。网站经营者一直都很乐观，部署任何适用于他们的协议，而不管协议是否是标准。

“我认为HSTS的最大问题是教育，”Ristic表示，“人们需要了解到它的存在。”

目前支持HSTS的流行网站包括Paypal、Twitter和各种谷歌服务。Facebook正在为其网站部署始终开启的HTTPS，但仍然不支持HSTS。

(责任编辑：)