Question

我一直在寻找一种方法来确保我的网络服务器可以抵御中间人攻击。即使我选择在安全警告之后前进，Google Chrome和Firefox似乎也会阻止对我的服务器的请求。我正在通过使用Charles Proxy来拦截Https流量而不信任我的Mac上的Charles Cert。

当我使用Safari运行相同的测试时，如果我选择忽略安全警告，我会让我通过，我希望有一定数量的用户可以这样做。因此，似乎需要更多配置来锁定Safari流量。我知道这是可能的，因为当尝试使用相同的场景导航到github.com时，我收到以下消息：

有人知道GitHub在不受信任的连接上阻止Safari流量的行为吗？

Answer 1

Looks like Safari支持HSTS，而github正在使用它。他们的HTTP响应包含以下标题：

Strict-Transport-Security:max-age=31536000; includeSubdomains; preload

这样，支持HSTS的浏览器知道，在可预见的时间内，只能使用https访问此站点，并且浏览器会自动升级任何仅使用http的尝试。

除了基本的HSTS之外，只有在第一次访问网站后才能工作，github还会添加preload指令。这告诉浏览器制造商github喜欢包含在浏览器附带的预装HSTS列表中，以便浏览器应用HSTS，即使用户之前从未访问过该站点。有关详细信息，请参阅HSTS Preloading。