在想一个问题： HSTS 为什么有意义？

@otakustay 不是说不谈那个了么。。。

我怀疑 HSTS 有一个作用是如果你的子域名被劫持了，实际上还是可以盗取 Cookie 的，所以想要安全，最好全站 HSTS 。这个 301 就搞不定了吧？

@valkjsaaa Cookie 不一定是泛域的，子域名的确是需要 HSTS ，但是实际上除了裸域和 www ，对大部分人来说子域的需求不是那么大。

考虑用 307 而不是 301 。
HPKP 必须包含一个备用密钥，否则 HPKP 直接不生效。
HSTS 就是在安全性和灵活性之间选择了安全性，而你说的跳转大法则是相反，在安全性和灵活性之间选择了灵活性。
这些东西就是些 trade off 而已，根据需要来选择就好了。
你问有没有意义，当然是有的，而且和你关系不大，因为你不需要这个级别的安全性，所以感受不到其意义。

@msg7086 我感觉如果只是在裸域的话， HPKP+301 能兼顾灵活+安全

@lslqtz HPKP 和 HSTS 要解决的问题是不太一样的。
比如你打开 HPKP 以后，我仍然可以在任何一个公共 Wifi 上劫持你的 301 请求。

@msg7086 缓存了就无法劫持了...
第一次都能被劫持

@lslqtz 301 缓存和 HSTS 缓存还不太一样。 301 的缓存应该很容易被清除……

HSTS stands for HTTP Strict Transport Security which helps to stop HTTP downgrade attacks while transferring user's data from http to https.

@Williamp 如果是通过响应头发送的不能阻止降级攻击，而且缓存也能够实现相同的效果（强制缓存多久，然后就不会向服务器请求响应）

@lslqtz Yes, HSTS header response only sent over secure transport layer and that's why attacker get a chance to complete targeted attack.

我在想为啥不是浏览器直接优先发起 https 请求呢? 如果 https 失败, 再请求 http