https HSTS标头
示例
Strict-Transport-Security: max-age=31536000; includeSubDomains
Strict-Transport-Security向浏览器保证,将来对该域的所有请求都将是安全的。
对于未来的时间段max-age:
来自浏览器的所有传出HTTP请求都将转换为客户端上的HTTPS(不是HTTP重定向)。
如果证书无效(例如,过时或自签),则用户将无法将其列入白名单,并且该站点将仍然无法访问。
HSTS行为旨在消除使用HTTPS剥离,发布无效证书(并期望用户添加和例外)以及将HTTP请求重定向到另一个目标的中间人攻击。