在想一个问题： HSTS 为什么有意义？

1. preload 有效防止中间人
2. includeSubDomains 可以传染到所有子域
3. 中间人如果使用了无效证书，浏览器会拒绝例外证书
4. 301 默认不会缓存很久，通过头部让浏览器缓存指定时间

@lhbc 不谈 preload （不谈预置列表）和子域（只是首页）了啊...
4 的话 301 网上看默认 100 年
3 是个好理由 发个感谢

所以需要预置列表

hsts 的所谓兼容性问题，恰恰是普通 https 中常见的弱点。
比如混合内容，这就是错误的处理，没 hsts 的时候有人凑合用而已
hsts 是对 https 的常见实现错误的修正，毕竟事实证明 https 当初的很多设计在理论上是安全的，可实际上没能做到

HSTS 的重要性就在于预置列表。

@lslqtz 301 大多数浏览器在重启后没有缓存。可以用 Cache-Control 指定缓存时间

L3 已经说了一些了。还有就是 301 ，他只能重定向一个页面，如果是一个域名下的所有页面（ Path ）呢？假如有人就是根据某一个域名钓鱼，它可以定义一个你之前绝对没访问过的 Path ，那假如开了 HSTS 并之前访问过，肯定好比 301 好。

事实情况是，首页 301 之后，浏览器不知道所有页面都是 301 ，所以有 HSTS

HSTS 必须在 HTTPS 下才能生效啦，假如没 HTTPS 和 HTTPS 证书，也弄了 HSTS ，或者中间人加了这个 Header ，岂不是就再也无法忘问了？

还有不会有人会在实际部署时没配好证书就 includeSubDomains 的

@lhbc 第三点不是 HPKP/DANE 的事情么（

最主要是 1L 说的中间人如果使用了无效证书，浏览器会拒绝例外证书。而不会询问你是否继续，既然不安全，为何继续。

补充：当然必须 preload

另外 301 可以被劫持，并不安全。

@kn007 在第一次建连时， HSTS 同样可以被劫持。
第二次建连时，两个都可以被缓存。

@lslqtz 所以我下面补充了， preload 是必须的。

@lslqtz 找了下，可以下屈哥写的文章。
https://imququ.com/post/sth-about-switch-to-https.html#toc-2

其中提到：
可以看到 HSTS 可以很好的解决 HTTPS 降级攻击，但是对于 HSTS 生效前的首次 HTTP 请求，依然无法避免被劫持。浏览器厂商们为了解决这个问题，提出了 HSTS Preload List 方案：内置一份可以定期更新的列表，对于列表中的域名，即使用户之前没有访问过，也会使用 HTTPS 协议。

@ryd994 HSTS 也是允许混合内容的吧...
如果不要子域名， 301 感觉重新在加一个 HSTS 没啥必要。
@lhbc 已发感谢。
@VmuTargh HPKP +1
@kn007 感觉 preload 不太灵活...301 可以灵活的设置过期时间，配合 HPKP 。

@kn007 哈哈，这篇文章我也看过。
经常逛屈屈的博客。

@lslqtz 嗯，我一开始也是你这种想法，但配合泛域名证书就无所谓灵活不灵活了。。。有了 http2 ，我想不出为什么要回到 http

前几天 V2 有位 BuySSL 的赞助了份泛域名。

@kn007 可我没有啊噗噗=A=

@lslqtz 哈哈哈哈。因为有了 preload 和 hsts ，我就没上 HPKP ，无所谓了。懒得维护。