站点通过HTTPS 对外提供服务，用户在访问某站点，往往会直接输入站点域名，而不是完整的HTTPS地址，站点一般会发送301重定向，要求浏览器升级到HTTPS连接。 将所有非安全请求重定向到安全URL是常规做法，但是中间人仍然可以在重定向发生前劫持连接。 HSTS指示浏览器只能使用HTTPS访问域名，来处理潜在的中间人劫持风险。即使...

并且通过 --this CSP 指令，可以让浏览器帮助做这个转换。启用此策略后，有两个变化： 与所有其他 CSP 规则一样，该指令可以通过两种方式启用配置burpsuit谷歌浏览器证书及HSTS问题处理，具体格式请参见上一节。需要注意的是——只是替换了协议部分，所以只适用于HTTP/HTTPS域名和路径完全一致的场景。 合理使用 HSTS...