你的网页还在泄露信息？HSTS或是拯救者

­　　问一个问题：你在浏览器上填写网站地址时，是从http开始的，还是从www，还是直接输入zol.com.cn。以笔者为例，用的是谷歌浏览器，每次进入中关村在线首页，都直接输入“zol”回车，浏览器会自动跳转到中关村在线首页。你可能都没有意识到，其实浏览器为我们省略了很多步骤，这当然很好，但也可能导致信息安全问题。

­　　对网络熟悉的朋友肯定听说过“http”和“https”。简单来说，二者相差的“s”就是英文安全Secure的缩写。HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，因其安全性的特点，收到了谷歌等企业的信赖和推广。为了保证数据安全，在https协议中采用了很多种加密算法，诸如大家比较熟悉的哈希算法，还有对称加密、非对称加密和数字签名等。比如哈希算法就是将任意长度的信息转换成固定长度的数值，而且这种算法转换采用的是脱敏方式，算法不可逆。

­　　但问题是，目前我们真的用的都是https吗，即便都是了，就真的安全了吗？

­　　答案必然是否定的。

­　　正如笔者在文章开头描述的场景一样，根据用户习惯，我们一般只会在浏览器中输入相应的域名，并不会手动输入“http”或“https”。此时，浏览器为我们代劳，而当前几乎所有浏览器都是默认填写“hppt：//”的。

­　　HSTS主力网页信息安全通信

­　　此时，网站管理员一般会采用301/302跳转的方式，由 HTTP 跳转到 HTTPS，而这个过程中很有可能收到攻击。此时，便体现了HSTS的功效。

­　　那么什么是HSTS呢？事实上，HSTS是国际互联网工程组织 IETF 正在推行一种新的 Web 安全协议，这种安全协议正是在网站跳转时起到关键作用的协议，帮助用户转到安全链接。

­　　采用HSTS安全协议的优势在于不但能够增强数据传输安全性，避免在转化过程中收到网络攻击，还可以减少网站 301/302 跳转时所花费的大量时间，极大提高安全系数和用户体验。（以上图片来自网络）

­　　原标题：你的网页还在泄露信息？HSTS或是拯救者