一種能夠幫助HTTPS網站更好地抵御各種類型攻擊的Web安全政策機制已經作為互聯網標準被批準和發布，但除了一些高知名度的網站的支持外，其他網站的部署率仍然很低。

HTTP嚴格傳輸安全協議(HSTS，Strict Transport Security)允許網站只接受通過HTTPS(安全HTTP)的連接，該協議的目的是防止黑客迫使用戶通過HTTP連接或者濫用HTTPS部署中的錯誤來破壞內容完整性。

負責開發和推廣互聯網標準的互聯網工程任務組(IETF)近日發布了HSTS規范作為正式標準文件RFC 6797。IETF的網絡安全工作組自2010以來一直在研究該協議，該協議最初由Paypal的Jeff Hodges、卡內基梅隆大學的Collin Jackson和谷歌的Adam Barth作為草案提交。

HSTS防止所謂的混合內容問題影響HTTPS網站的安全性和完整性。當被嵌入到HTTPS網站腳本或者其他資源從第三方地點通過不安全連接加載時，就會出現混合內容問題，這可能是開發錯誤或者是故意的。

當瀏覽器加載不安全資源時，它會通過普通的HTTP發出請求，也可能會一起發送用戶的會話cookie。攻擊者可以使用網絡嗅探技術來攔截這個請求，然后使用用戶的cookie來攻擊用戶的賬戶。

HSTS機制還可以抵御中間人攻擊，在這種攻擊中，攻擊者試圖攔截用戶到網站的連接，強制用戶的瀏覽器訪問該網站的HTTP版本，而不是HTTPS版本。這項技術被稱為HTTPS或者SSL分離，并有很多工具可以自動執行。

當瀏覽器通過HTTPS連接到支持HSTS的網站時，該網站的嚴格傳輸安全協議將被保存(在指定的一段時間內)。從這個時候起，只要緩存的政策沒有過期，瀏覽器都會拒絕啟動與該網站的不安全連接。

HSTS政策通過HTTP響應表頭域(被稱為Strict-Transport-Security)來傳輸，相同的表頭也可以用于更新政策。

安全公司Qualys工程主管Ivan Ristic表示，HSTS對于SSL來說是一件極好的事情，因為在它修復了18年前該協議最初設計時存在的一些錯誤，并且，它還根據web瀏覽器運行方式的改變而做出了調整。

例如，依賴于證書警告是一個大錯誤，因為用戶養成了忽視和覆蓋它們的習慣。在大多數情況下，這不是一個大問題，但即使是1%的情況，這也是危險的。

HSTS不依賴于證書警告。如果在HTTPS部署中檢測到問題，瀏覽器會簡單地拒絕連接，不會為用戶提供機會來覆蓋這個決定。

即使對于啟用HSTS的網站，仍然存在很小的攻擊機會，例如，當瀏覽器第一次訪問網站，而沒有為其保存HSTS政策時。在這種情況下，攻擊者可以阻止它到達HTTPS版本的網站，而強迫使用HTTP連接。

為了解決這個問題，Chrome和Firefox等瀏覽器具有預加載流行網站列表，在默認情況下，這些網站將會強制執行HSTS。

根據SSL Pulse(監測世界上訪問量最大網站的HTTPS部署情況的項目)像是，在前18萬啟用HTTPS的網站中，只有1700支持HSTS。

Ristic表示，出了整體HSTS部署率偏低外，一些網站仍然在支持存在執行問題的功能。

例如，一些只為HSTS政策指定很短的有效期(也被稱為生存時間)。如果要確保HSTS的有效性，有效期至少應該要幾天，如果無法達到幾個月的話。

Ristic不認為HSTS成為正式互聯網標準的事實一定能夠推動部署率。網站經營者一直都很樂觀，部署任何適用于他們的協議，而不管協議是否是標準。

“我認為HSTS的最大問題是教育，”Ristic表示，“人們需要了解到它的存在。”

目前支持HSTS的流行網站包括Paypal、Twitter和各種谷歌服務。Facebook正在為其網站部署始終開啟的HTTPS，但仍然不支持HSTS。