什么是 HSTS?如果您想为您的网站增加安全性,更快的载入时间和更强的搜索引擎优化,使用 HSTS 就对了。
HSTS 是一个响应头,它通知浏览器只能使用 HTTPS 连线到某个网站。
HSTS 提高了 HTTPS 网站的速度和安全性。
HSTS 如何提高网站安全性 与 HTTPS 相关的一个缺陷是它并不完全是防黑客的,它使您的站点对 SSL 剥离开放。
当黑客将连线从加密连线更改为旧版本时,会发生这种情况。
这通常发生在 301 重定向 – 如果网站依赖 301 重定向从 HTTP 切换到 HTTPS 。
301 重定向通常如下所示: · 有人在 examplesite.com 中输入他们的浏览器。
· 由于 examplesite.com 使用 301 重定向,因此浏览器最初会尝试载入 http://examplesite.com 。
发生这种情况是因为浏览器无法提前知道特定网站正在使用 HTTPS 。
· 一旦遇到重定向并被告知,浏览器就会继续载入 https://examplesite.com 。
虽然这看起来不是什么大不了的事,但是在您真正需要担心的几毫秒之内,因为它让网站容易受到试图剥夺您的 SSL 证书的黑客的攻击。
当服务器最初呼叫 HTTP 版本时,黑客可以通过不安全的 HTTP 进入并拦截请求,这将阻止该站点使用 HTTPS 。
按理说,随著越来越多的网站转向使用 HTTPS,更多的黑客正在破解更新的安全代码。
有一个解决方案,通过应用 HSTS 使您的网站更安全。
HSTS 强制站点通过 HTTPS 载入,忽略任何首先尝试 HTTP 连线的呼叫,如 301 重定向的情况。
这基本上通过强制浏览器记住该站点确实支持 HTTPS 来避开初始 HTTP 负载。
这样,浏览器将立即载入安全版本,并消除黑客劫持连线的机会。
HSTS 如何帮助页面载入速度和 SEO 除了为您的网站新增额外的安全层之外,使用 HSTS 还可以为您提供 SEO 提升,因为使用 HSTS 会使您的网页载入速度更快。
我们知道在搜索排名和使用者体验方面,载入时间是一个大问题。
随著移动装置的使用量不断增加以及 Google 的移动优先计划全面展开,页面载入速度比以往任何时候都更加重要。
去年年初,Google 释出了一项研究,得出以下结论: 完全载入普通移动登入页面所需的平均时间为 15.3 秒: 然而,研究还表明,如果载入时间超过 3 秒,53%的人会离开移动页面。
显然,在载入时间方面,Web 使用者并不完全宽容。
对于似乎最有动力申请 HSTS 的电子商务网站来说,新闻更糟糕。
考虑一下 Google 的购物资料: 移动网站在关键参与度指标方面落后于桌面网站,例如网站平均停留时间,每次访问网页和跳出率。
很多购物都在网上发生,但落后的网站不是销售的网站。
网页载入速度直接影响指标,例如网站平均停留时间,每次访问的网页数和跳出率。
如果您看到低参与度指标,您可能会看到低销售额。
这些参与度指标也是您整体 SEO 的关键因素。
网页的使用者体验感越好,可以带来更高的排名。
页面载入速度是如此重要,因此企业会尽其所能确保其网站像闪电一样载入。
他们可以做的一件事是启用 HSTS 。
请记住,如果您尝试仅使用 HTTPS 载入站点,它将首先尝试在实现页面支持 HTTPS 之前呼叫 HTTP 版本。
初始 HTTP 尝试将导致站点载入时间的小延迟。
虽然在页面载入速度方面可能只有几毫秒,但每毫秒都很重要。
启用 HSTS 后,浏览器知道只使用 HTTPS,使重定向立即消除任何滞后时间。
我如何申请 HSTS? 在启用 HSTS 之前,必须安装有效的 SSL 证书。
使用者的浏览器必须至少看一次 HSTS 标头才能知道立即重定向到某个页面。
这意味著使用者首次访问某个域仍然需要通过 HTTP 到 HTTPS 程序。
为了尽可能地消除这种情况,Chrome 建立了一个 HSTS 预载入列表。
这是将自动启用 HSTS 的域列表,因此使用者可以使用 HSTS 自动连线。
Chrome 允许任何人将其域名提交到 HSTS 列表,只要它符合以下要求: 如果存在 DNS 记录,则需要在根域和所有子域上启用 HTTPS,尤其是 www.subdomain 。
这包括仅在 Intranet 上使用的任何子域。
HSTS 策略包括具有长 max-age 的所有子域,以及用于指示域所有者同意预载入的 “预载入” 标志。
截至目前,Firefox,Safari,Opera 和 Edge 也使用 Chrome 的预载入列表,因此该选项适用于大多数主流浏览器的域。
要在您的网站上启用 HSTS,您需要新增启用的 HSTS 标头。
您可以通过您的托管网站执行此操作或自行启用它。
结论: 您应该使用 HSTS 吗? 每个网站都可以从额外的安全层中受益,不仅从 SEO 的角度,而且从客户的角度来看。
如果您经营电子商务或交易网站,HSTS 很快就会变成必须的。