前两天harry跟我讲paypal正在推动一个东西，增加一个http的header，标记某个网站只能由https访问，不能由http访问。

今天度假回来一看，已经出来了

http://lists.w3.org/Archives/Public/www-archive/2009Sep/att-0051/draft-hodges-strict-transport-sec-05.plain.html#strict-transport-security-http-response-header-field

paypal 推动的邮件在这里：

http://www.webappsec.org/lists/websecurity/archive/2009-09/msg00060.html

目前noscript里已经增加了对此的支持，chrome的支持好像也出来了。

实现上，服务器端response增加一个头

The ABNF [] syntax for the Strict-Transport-Security HTTP Response Header field is:

Strict-Transport-Security =
        "Strict-Transport-Security" ":" "max-age" "=" delta-seconds [ ";" "includeSubDomains" ]

max-age specifies the number of seconds the  should remember receipt of this header field from this server. The delta-seconds production is specified in [].

includeSubDomains is a flag which, if present, signals to the  that the  applies to this  as well as any subdomains of the server's.

支持这个功能的客户端就知道这个站点只允许https访问了。任何http的访问都会被转到https下


这个功能对安全要求高的站点，比如银行和支付类网站来说，是非常有意义的

因为之前很多针对https的攻击就是在同域下https的页面里混淆了http的请求，造成一种类似 mixed content  的攻击 （可以参考 blackhat2009 里 alex androv 那篇文章），从而造成一些威胁。使用了这个http头之后，就可以杜绝此类攻击了。当然要浏览器支持才行。


刚从泰国度假归来，事情比较多，我会尽快把游记补上来，哈哈，云舒说的对，我肯定会写游记的！