HSTS 在线测试工具

工具简介

HSTS（HTTP Strict Transport Security）严格传输安全协议是保障网站安全的重要机制。本在线工具旨在帮助网站管理员和开发者快速检测网站的HSTS配置状态。通过输入网站域名或URL，工具将分析HTTP响应头中的Strict-Transport-Security字段，详细展示其max-age、includeSubDomains和preload等参数，从而判断网站是否正确实施了HSTS，有效防止降级攻击和会话劫持，提升用户访问的安全性与信任度。

HSTS的来历

HSTS协议最早由IETF在RFC 6797中定义，其主要目的是为了解决HTTP协议明文传输可能导致的降级攻击（如SSL剥离攻击）和Cookie劫持问题。在HSTS出现之前，即使网站支持HTTPS，用户首次访问时仍可能通过HTTP连接，从而容易受到中间人攻击。HSTS通过强制浏览器在指定时间内只能通过HTTPS访问网站，从根本上杜绝了这类风险，成为现代网站安全的重要组成部分。

如何使用

1. 在工具页面提供的输入框中，输入您需要检测的网站域名或完整的URL地址（例如：example.com 或 https://www.example.com）。
2. 确认输入无误后，点击“开始检测”或“提交”按钮。
3. 工具将自动发送请求并分析网站的HTTP响应头，并在几秒钟内展示详细的HSTS配置检测结果。

使用示例

以下是一个使用hsts-test工具检测https://www.google.com的示例：

• 示例输入数据： https://www.google.com
• 预期输出结果：
  • 检测URL： https://www.google.com
  • HSTS状态： 已启用
  • Strict-Transport-Security Header： max-age=31536000; includeSubDomains; preload
  • Max-Age 值： 31536000 秒 (相当于 1 年)
  • Include SubDomains： 是 (表示所有子域名也受HSTS保护)
  • Preload 状态： 符合预加载条件 (表示该域名已提交或符合提交到HSTS Preload List的条件)
  • 重定向链： http://www.google.com https://www.google.com (工具会显示所有重定向过程)
  • 证书状态： 有效
• 具体操作演示： 用户在输入框输入https://www.google.com，点击检测，即可看到上述详细结果。

常见问题

• 问：HSTS Preload是什么？ 答：HSTS Preload是一个由浏览器维护的HSTS域名列表。一旦域名被列入其中，浏览器将直接通过HTTPS访问该域名及其子域名，无需首次访问时通过HTTP重定向，从而提供最高级别的安全保护。
• 问：为什么我的网站HSTS检测结果显示为“未启用”？ 答：这通常意味着您的网站的HTTP响应头中缺少Strict-Transport-Security字段，或者该字段的配置不正确。请检查您的服务器配置，确保在所有HTTPS响应中都包含了正确的HSTS头。
• 问：HSTS的max-age值应该设置多少？ 答：max-age是HSTS策略的有效期，以秒为单位。建议设置为至少一年（31536000秒），以便浏览器长时间记住该策略。在测试阶段可以设置较短时间，但生产环境应尽量延长。

注意事项

• 请确保输入的是完整且有效的网站域名或URL地址，例如example.com或https://www.example.com。
• 本工具仅能检测当前请求的HSTS配置。如果您的网站存在复杂的重定向或CDN配置，可能会影响检测结果的准确性。
• HSTS Preload的提交需要满足一系列严格条件，本工具仅提示是否符合条件，实际提交需前往hstspreload.org官方网站进行操作。
• 检测结果仅供参考，具体的网站安全策略实施请务必咨询专业的网络安全工程师。