與HTTPS相關(guān)的一個(gè)缺陷是它并不完全是防黑客的，它使您的站點(diǎn)對(duì)SSL剝離開放。當(dāng)黑客將連接從加密連接更改為舊版本時(shí)，會(huì)發(fā)生這種情況。

       這通常發(fā)生在301重定向 - 如果網(wǎng)站依賴301重定向從HTTP切換到HTTPS。

        雖然這看起來(lái)不是什么大不了的事，但是在你真正需要擔(dān)心的幾毫秒之內(nèi)，因?yàn)樗尵W(wǎng)站容易受到試圖剝奪你的SSL證書的黑客的攻擊。

      當(dāng)服務(wù)器最初調(diào)用HTTP版本時(shí)，黑客可以通過(guò)不安全的HTTP進(jìn)入并攔截請(qǐng)求，這將阻止該站點(diǎn)使用HTTPS。按理說(shuō)，隨著越來(lái)越多的網(wǎng)站轉(zhuǎn)向使用HTTPS，更多的黑客正在破解更新的安全代碼。

      有一個(gè)解決方案，通過(guò)應(yīng)用HSTS使您的網(wǎng)站更安全。

      HSTS強(qiáng)制站點(diǎn)通過(guò)HTTPS加載，忽略任何首先嘗試HTTP連接的調(diào)用，如301重定向的情況。這基本上通過(guò)強(qiáng)制瀏覽器記住該站點(diǎn)確實(shí)支持HTTPS來(lái)避開初始HTTP負(fù)載。這樣，瀏覽器將立即加載安全版本，并消除黑客劫持連接的機(jī)會(huì)。

       除了為您的網(wǎng)站添加額外的安全層之外，使用HSTS還可以為您提供SEO提升，因?yàn)槭褂肏STS會(huì)使您的網(wǎng)頁(yè)加載速度更快。

       我們知道在搜索排名和用戶體驗(yàn)方面，加載時(shí)間是一個(gè)大問題。隨著移動(dòng)設(shè)備的使用量不斷增加以及Google的移動(dòng)優(yōu)先計(jì)劃全面展開，頁(yè)面加載速度比以往任何時(shí)候都更加重要。

       去年年初，Google發(fā)布了一項(xiàng)研究，得出以下結(jié)論：

       完全加載普通移動(dòng)登錄頁(yè)面所需的平均時(shí)間為15.3秒：

      然而，研究還表明，如果加載時(shí)間超過(guò)3秒，53％的人會(huì)離開移動(dòng)頁(yè)面。

      顯然，在加載時(shí)間方面，Web用戶并不完全寬容。

       對(duì)于似乎最有動(dòng)力申請(qǐng)HSTS的電子商務(wù)網(wǎng)站來(lái)說(shuō)，新聞更糟糕?？紤]一下Google的購(gòu)物數(shù)據(jù)：

        移動(dòng)網(wǎng)站在關(guān)鍵參與度指標(biāo)方面落后于桌面網(wǎng)站，例如網(wǎng)站平均停留時(shí)間，每次訪問網(wǎng)頁(yè)和跳出率。很多購(gòu)物都在網(wǎng)上發(fā)生，但落后的網(wǎng)站不是銷售的網(wǎng)站。網(wǎng)頁(yè)加載速度直接影響指標(biāo)，例如網(wǎng)站平均停留時(shí)間，每次訪問的網(wǎng)頁(yè)數(shù)和跳出率。如果您看到低參與度指標(biāo)，您可能會(huì)看到低銷售額。

        這些參與度指標(biāo)也是您整體SEO的關(guān)鍵因素。網(wǎng)頁(yè)的用戶體驗(yàn)感越好，可以帶來(lái)更高的排名。頁(yè)面加載速度是如此重要，因此企業(yè)會(huì)盡其所能確保其網(wǎng)站像閃電一樣加載。他們可以做的一件事是啟用HSTS。

         請(qǐng)記住，如果您嘗試僅使用HTTPS加載站點(diǎn)，它將首先嘗試在實(shí)現(xiàn)頁(yè)面支持HTTPS之前調(diào)用HTTP版本。初始HTTP嘗試將導(dǎo)致站點(diǎn)加載時(shí)間的小延遲。雖然在頁(yè)面加載速度方面可能只有幾毫秒，但每毫秒都很重要。啟用HSTS后，瀏覽器知道只使用HTTPS，使重定向立即消除任何滯后時(shí)間。

      在啟用HSTS之前，必須安裝有效的SSL證書。用戶的瀏覽器必須至少看一次HSTS標(biāo)頭才能知道立即重定向到某個(gè)頁(yè)面。這意味著用戶首次訪問某個(gè)域仍然需要通過(guò)HTTP到HTTPS進(jìn)程。

      為了盡可能地消除這種情況，Chrome創(chuàng)建了一個(gè)HSTS預(yù)加載列表。這是將自動(dòng)啟用HSTS的域列表，因此用戶可以使用HSTS自動(dòng)連接。

      Chrome允許任何人將其域名提交到HSTS列表，只要它符合以下要求：

      如果存在DNS記錄，則需要在根域和所有子域上啟用HTTPS，尤其是www.subdomain。這包括僅在Intranet上使用的任何子域。HSTS策略包括具有長(zhǎng)max-age的所有子域，以及用于指示域所有者同意預(yù)加載的“預(yù)加載”標(biāo)志。

       截至目前，F(xiàn)irefox，Safari，Opera和Edge也使用Chrome的預(yù)加載列表，因此該選項(xiàng)適用于大多數(shù)主流瀏覽器的域。

       要在您的網(wǎng)站上啟用HSTS，您需要添加激活的HSTS標(biāo)頭。您可以通過(guò)您的托管網(wǎng)站執(zhí)行此操作或自行激活它。

結(jié)論：

    你應(yīng)該使用HSTS嗎？

     每個(gè)網(wǎng)站都可以從額外的安全層中受益，不僅從SEO的角度，而且從客戶的角度來(lái)看。如果您經(jīng)營(yíng)電子商務(wù)或交易網(wǎng)站，HSTS很快就會(huì)變成必須的。