HSTS配置缺失——降级攻击与防范

HSTS配置缺失——降级攻击与防范

摘要：HSTS缺失使网站暴露于SSL剥离、中间人降级攻击风险。本文解释HSTS的必要性，并给出部署步骤（包括预加载列表）。

关键词：黑客网站攻击；HSTS；降级攻击；渗透测试；SSL剥离；预加载列表

---

一、引言

没有HSTS时，用户首次访问网站可能通过HTTP，攻击者可劫持该请求并重定向到恶意站点，即使后续使用HTTPS。HSTS通知浏览器在一段时间内强制使用HTTPS。

二、攻击示例

用户输入example.com，默认HTTP。攻击者中间人返回302重定向到假站点。

三、防御配置

• 响应头：Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
• 提交域名到浏览器预加载列表。
  
  

四、总结

HSTS简单有效，应成为所有HTTPS站点的标准配置。

下一篇预告：CORS配置错误——跨域读取敏感数据。