HSTS:HTTP Strict Transport Security =HTTP的严格限制安全
当你第一次访问的时候http://www.a.com,也会发HSTS 这里面也写了如301或者302的重定向说跳转到https://www.a.com,此时这个消息会缓存在本机上(这个存放长达可以一年,自己定义的)当你能下次输入http://www.a.com的时候在浏览器内部就直接改成了https://www.a.com,当有缓存的时候,浏览器发出去的时候就不走http了,直接走https了。
1 curl -I http://www.jd.com 2 HTTP/1.1 302 Moved Temporarily 3 Server: nginx 4 Date: Fri, 26 Mar 2021 10:24:38 GMT 5 Content-Type: text/html 6 Content-Length: 138 7 Connection: keep-alive 8 Location: https://www.jd.com/ 9 Access-Control-Allow-Origin: * 10 Timing-Allow-Origin: * 11 X-Trace: 302-1616754278778-0-0-0-0-0 12 Strict-Transport-Security: max-age=360
#比如京东就会自动缓存360秒
第一次访问http就跳转到https 需要和浏览器合作关系才行
1 RewriteEngine on 2 RewriteRule ^(/.*)$ https://%{HTTP_HOST}$1 [redirect=302]
3 Header always set Strict-Transport-Security "max-age=31536000"
#表示会缓存31536000