HTTP,HTTPS和HSTS详解

最新推荐文章于 2025-11-01 20:54:33 发布
原创 最新推荐文章于 2025-11-01 20:54:33 发布 · 3.9k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #http #https #hsts #网络安全

本文详细介绍了HTTP、HTTPS及其安全性升级HSTS。HTTP是基础,HTTPS通过SSL/TLS加密增强了安全性,而HSTS进一步确保浏览器始终使用HTTPS。首次访问HSTS网站可能存在风险,但现代浏览器通过预置HSTS列表和DNS记录来增强保护。

参考资料:
《从HTTP到HTTPS再到HSTS》作者:又拍云
《计算机网络:自顶向下方法》(第四版)作者:(美)James F.Kurose, Keith W.Ross
wikipedia:HTTPHTTPSHSTS
《一个故事讲完https》微信公众号:码农翻身 作者:刘欣
《HTTPS科普扫盲贴》作者:程序猿小卡
《你所不知道的 HSTS》作者:小胡子哥

HTTP(HyperText Transfer Protocol,超文本传输协议)
HTTPS(HTTP Secure 或 HTTP on TLS,超文本传输安全协议)
HSTS(HTTP Strict Transport Security,HTTP严格传输安全协议)

随着互联网的迅速发展,网络安全面临着越来越大的挑战,人们也越来越注重网络安全的重要性,于是诞生了从 HTTP 到 HTTPS 再到 HSTS 这样一条不断加强安全性的道路

HTTP 是基础,HTTPS 和 HSTS 都是后来对它进行的安全性升级

HTTP

概述

HTTP是一种用于 分布式、协作式超媒体信息系统应用层 协议
它是万维网的数据通信的基础,Web的核心。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。
这里写图片描述

请求访问过程

HTTP 使用 TCP 作为它的支撑运输层协议。但是,实际上HTTP协议中,并没有规定必须使用它或它支持的层,HTTP只是假定其下层协议提供可靠的传输,所以它也就选择了 TCP/IP 族中的 TCP
也正是因为 HTTP 采用 TCP 作为传输层协议,所以HTTP协议不用担心数据丢失
HTTP 请求的默认端口是 80 号端口,HTTP的访问过程如下:

  1. HTTP客户端在端口80向目标服务器发起TCP连接
  2. 连接成功后,HTTP客户端经它的Socket向服务器发送一个HTTP请求报文,其中包含请求访问路径
  3. HTTP服务器接受请求报文,在存储器里按照路径找到文件,然后包装成HTTP响应报文,通过Socket发送给客户端
  4. 传输结束后,服务器发起TCP断开连接通知
  5. 客户端接受完文件后,响应TCP断开连接

我们还需要知道,HTTP 是一个无状态协议,HTTP 服务器不会记住客户端的请求信息,即使你连续两次请求同一文件,服务器都会当做第一次请求,并执行完整的响应步骤

连接类型

非持久性连接

这种连接方式是,每传输一个文件都要经历上述的五个步骤
比如,我们需要访问一个Web页面包含<

最低0.47元/天 解锁文章
HSTS详解,以及HSTS VS 301 redirect
zzhongcy的专栏
10-30 1668
看到这篇文章,感觉不错,这里转载记录一下:https://juejin.cn/post/6844903865788137479本文主要是通过梳理一下相关概念,理清这两种配置的目的。
Web技术(二):图解HTTP + HTTPS + HSTS
流云
05-10 7033
一、HTTP简介 目前使用最广泛的仍是HTTP/1.1,截至2020年4月,W3Techs统计的前1000万网站中支持HTTP/2的大概占43.6%,支持QUIC的仅占4.2%。要了解HTTP/2离不开HTTP/1.1,因此本文先介绍主流的HTTP/1.1版本。 HTTP属于应用层协议,底层依赖于TCP/IP协议完成数据报文的传输。如果对HTTP报文有加密传输的需求,在HTTP协议与TCP协议之间还可以增加SSL/TLS协议层,这就构成了HTTPS协议。 二、HTTP报文 2.1 HTTP Request
HSTS是什么?怎么取消HSTS?怎么查询HSTS
m0_46665077的博客
06-17 1万+
HSTS是什么?怎么取消HSTS?怎么查询HSTS
什么是HSTS,为什么要使用它?
青春木鱼的博客
01-14 4284
HSTSHTTP 严格传输安全(HTTP Strict Transport Security) 的缩写。 这是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。 如果一个网站声明了 HSTS 策略,浏览器必须拒绝所有的 HTTP 连接并阻止用户接受不安全的 SSL 证书。 目前大多数主流浏览器都支持 HSTS (只有一些移动浏览器无法使用它)。
一文读懂什么是HSTS
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
11-01 1032
HSTSHTTP Strict Transport Security)是一种机制,用于指示网站浏览器只能通过 HTTPS 访问该网站。此机制的工作原理是网站发送包含网站策略的 Strict-Transport-Security HTTP 响应标头。preload强制浏览器始终通过HTTPS与网站通信,即使用户输入的是HTTP网址。此外,在后续连接到该网站主机时,浏览器将不允许用户绕过安全连接错误,例如无效证书。HSTS 仅通过域名来识别主机。
解决: 您目前无法访问 因为此网站使用了 HSTS网络错误攻击通常是暂时的,因此,此网页稍后可能会恢复正常
热门推荐
青春木鱼的博客
01-16 8万+
使用“thisisunsafe”解决: 您目前无法访问 因为此网站使用了 HSTS网络错误攻击通常是暂时的,因此,此网页稍后可能会恢复正常
HTTPHTTPS以及HSTS
wydbyxr的博客
12-21 687
HTTPHTTPS   http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。 HSTS   HSTSHTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议。   HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。   HSTS可以很大程度上解决SSL剥离攻击,因为只要浏览器曾...
nginx开启HSTS让浏览器强制跳转HTTPS访问详解
09-29
**Nginx开启HSTSHTTP Strict Transport Security)让浏览器强制跳转HTTPS访问详解** 在当前网络安全日益重要的背景下,HTTPS已经成为保障网站数据传输安全的重要手段。然而,仅使用HTTPS仍存在一些潜在的安全风险...
HTTPHTTPS 再到 HSTS 的转变
csdn_linuxprobe的博客
11-18 936
HSTS是国际互联网工程组织 IETF 正在推行一种新的 Web 安全协议,网站采用 HSTS 后,用户访问时无需手动在地址栏中输入 HTTPS,浏览器会自动采用 HTTPS 访问网站地址,从而保证用户始终访问到网站的加密链接,保护数据传输安全。HTTP 属于 TCP/IP 模型中的应用层协议,当浏览器与服务器进行互相通信时,需要先建立TCP 连接,之后服务器才会接收浏览器的请求信息,当接收到信息之后,服务器返回相应的信息。更多linux资讯请查看www.linuxprobe.com。
https网站无法正常访问,显示hsts相关协议
Nathan's Blog
06-13 3711
前言 今天更新博客文章,一如往常的更新好推送部署访问https://www.little-demon.cn 的时候出现了相关hsts错误导致了无法正常网站,而且清理浏览器缓存后也无法正常访问。经过百度的搜索查找后,找到了解决方案,这里感谢大佬们的教程以及帮助支持,本文引用csdn-二黒黑黑技术文章。 步骤 1、这里我用的Micsoft Edge浏览器,在地址栏输入:edge://net-internals/#hsts 百度上的教程都是针对Chrome浏览器,同样也是在地址栏输入:chrome://ne
如何用HSTS实现http跳转httpshttphttps有什么不一样?
06-06 763
HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS 现在大多少浏览器都要使用https加密,对于这种情况,很多站点都使用了http强制跳转http...
HSTS
hit_Wan
03-28 439
HTTP严格传输安全(英语:HTTPStrictTransportSecurity,缩写:HSTS)是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。 HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议(HTTP)响应头中包含Strict-Transport-Security字段。非加密传输时设置的...
配置Https HSTS
weixin_30788731的博客
02-01 619
1. 视频https://www.bilibili.com/video/av33344382/?p=2 using System; using Microsoft.AspNetCore.Builder; using Microsoft.AspNetCore.Hosting; using Microsoft.AspNetCore.Http; using Microsoft.Ext...
HSTS详解
喵叫兽的博客
09-27 6933
1. 缘起:启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不过浏览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器浏览器的协作,如下图所示。 图1:服务器浏览器在背后帮用户做了很多工...
HSTS详解:强制HTTPS的安全策略
爱的叹息的专栏
05-11 2201
HSTSHTTP Strict Transport Security)是一种Web安全策略,通过响应头Strict-Transport-Security强制浏览器仅通过HTTPS访问网站,防止SSL剥离攻击。HSTS可通过Nginx等服务器配置,常用参数包括max-age(生效时间)、includeSubDomains(子域名生效)preload(提交到浏览器预加载列表)。一旦设置,HSTS缓存无法立即清除,只能等待过期或用户手动清除。对于希望默认强制HTTPS的网站,可提交到HSTS Preload
解决“您目前无法访问,因为此网站使用了 HSTS”问题
AcceptedLin的博客
12-27 2万+
HSTSHTTP 严格传输安全(HTTP Strict Transport Security) 的缩写。这是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。如果一个网站声明了 HSTS 策略,浏览器必须拒绝所有的 HTTP 连接并阻止用户接受不安全的 SSL 证书。
HSTS VS 301 redirect
weixin_34115824的博客
06-14 396
之前基于nginx为网站配置了HTTPS服务,配置过程中涉及到两个知识点: 301 永久重定向 HTST(HTTP Transport Security Protocol) 本文主要是通过梳理一下相关概念,理清这两种配置的目的。 HTTPS HTTPS,也称作HTTP over TLS,TLS的前身是SSL。HTTPS 相比 HTTP 提供了数据完整性、 数据隐私性身份认证的功能。 SSL通...
因为此网站使用了 HSTS网络错误攻击通常是暂时的
q1508014114的博客
08-06 9446
3、滑到最底下Delete domain security policies处输入被HSTS的域名,点击Delete后,刷新一下即可打开。不行就多点Delete几下总会可以的!Chrome 解决: 您目前无法访问 因为此网站使用了 HSTS网络错误攻击通常是暂时的,因此,此网页稍后可能会恢复正常。2、可以在Query HSTS/PKP domain处搜索你的网站是否列为static HSTS条目,1、Chrome浏览器地址栏处打开:chrome://net-internals/#hsts
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值