网站用户和搜索引擎不会轻视网站安全,这可能就是为什么你可能听说过增加安全措施,比如HTTPS。
但是还有一种不太为人所知的安全层,称为HTTP严格传输安全(HSTS),它可以帮助保护您的站点和搜索引擎优化(SEO)。让我们看看HSTS是什么以及它是如何工作的。
hst
HSTS是一个响应头,告知浏览器只能使用HTTPS连接到某个特定的网站。HSTS提高了HTTPS网站的速度和安全性。要完全理解HSTS的作用,您需要了解一点HTTPS的工作知识。
HTTPS
HTTPS(超文本传输协议安全)是HTTP的安全版本。当用户使用HTTPS连接到网站时,网站会使用安全套接字层(SSL)证书对会话进行加密。用外行的话来说,它为网站会话增加了一层额外的安全,防止黑客试图窃取网络用户的信息。
可以想象,这对电子商务、银行或其他交易网站(如Paypal)特别有用,这些网站要求用户输入敏感信息。
站点是否使用HTTPS对用户来说是清晰可见的。那些安全的将在URL旁边显示一个绿色安全符号。
另一方面,那些仍然只依赖HTTP的站点将在统一资源定位器(URL)框中被标记为“不安全”。
自2014年起,HTTPS就已经成为谷歌排名的一个确认因素,虽然它不会立即使你的网站飙升到搜索引擎结果页(SERPs)的顶端,但它会给你一个额外的提升,给网站访问者一个额外的可信度层。我喜欢认为使用HTTPS会给网页一个提升,并且通常会将HTTPS页面在serp中向前移动。
虽然HTTPS比它的前任有了很大的改进,但它也不是完全没有缺陷,这就是HSTS的作用所在。
HSTS如何提高站点安全性
与HTTPS相关的一个缺陷是,它不是完全防黑客的。它使您的站点对SSL剥离开放。当黑客将加密连接更改为旧版本时,就会发生这种情况。
这种情况经常发生在301重定向-如果一个网站依赖301重定向从HTTP切换到HTTPS。301重定向通常是这样的:
有人会在浏览器中输入examplesite.com。
因为examplesite.com使用301重定向,所以浏览器首先尝试加载http://examplesite.com。这是因为浏览器无法提前知道某个特定站点使用的是HTTPS。
一旦它遇到重定向并被告知不是这样,浏览器就可以继续加载https://examplesite.com。
虽然这看起来不是什么大问题,但您真正需要担心的是这中间的几毫秒,因为这会使站点容易受到黑客的攻击,他们试图剥去您的SSL证书。
当服务器最初调用HTTP版本时,黑客可以潜入并通过不安全的HTTP拦截请求,这将阻止站点使用HTTPS。随着越来越多的网站改用HTTPS,越来越多的黑客开始自学如何破解更新后的安全密码。
有一个解决方案,通过应用HSTS使您的站点更加安全。
HSTS强制站点通过HTTPS加载,而不考虑任何像301重定向那样首先尝试HTTP连接的调用。这就迫使浏览器记住这个站点确实支持HTTPS,从而从本质上避免了初始HTTP加载。这样,浏览器将立即加载安全版本,并消除黑客劫持连接的机会。
HSTS如何帮助页面加载速度和SEO
除了为您的站点增加额外的安全层之外,使用HSTS还可以提高您的SEO,因为使用HSTS可以使您的web页面加载速度更快。
我们知道加载时间对搜索排名和用户体验都很重要。随着手机使用量的不断增加和谷歌的mobile-first倡议的全面展开,页面加载速度比以往任何时候都更加重要。
去年年初,谷歌发布了一项研究,得出以下结论:
手机登陆页面完全加载的平均时间为15.3秒:
然而,研究也表明,如果页面加载时间超过3秒,53%的人会选择离开。
显然,在加载时间方面,web用户是不能完全原谅的。
对于那些似乎最有动力应用HSTS的电子商务网站来说,情况甚至更糟。考虑一下谷歌的购物统计:
移动网站在关键参与指标上落后于桌面网站,比如平均停留时间、每次访问的页面和跳出率。很多购物都是在网上进行的,但那些落后的网站并不是在进行销售。页面加载速度直接影响访问站点的平均时间、每次访问的页面和跳出率等指标。如果你看到的是低enga