为什么 HSTS 标头不能在 HTTP 上发送

Question

HTTP 请求可能被第三方操纵（缓解这种情况是 HTTPS 的主要目的之一）。如果第三方修改 HTTP 响应以添加 HSTS 标头，会发生什么情况？想象一下，这种情况发生在一个网站上，不是支持 HTTPS。客户端现在尝试通过不支持的 HTTPS 访问网站。瞧：第三方已完全阻止对该网站的访问（如果是长期 HSTS 标头，则会阻止很长时间）。

Answer 1

HTTP 请求可能被第三方操纵（缓解这种情况是 HTTPS 的主要目的之一）。如果第三方修改 HTTP 响应以添加 HSTS 标头，会发生什么情况？想象一下，这种情况发生在一个网站上，不是支持 HTTPS。客户端现在尝试通过不支持的 HTTPS 访问网站。瞧：第三方已完全阻止对该网站的访问（如果是长期 HSTS 标头，则会阻止很长时间）。

为什么 HSTS 标头不能在 HTTP 上发送

答案1

相关内容