这个header就是Strict-Transport-Security:max-age=172800，如果max-age设置为0，则表示关闭HSTS。

去年国外研究人员发现一个问题，这个HSTS的状态无论在隐私窗口还是其他地方的窗口都是可以继承的，即www.xxx.com从正常窗口中设置了HSTS状态，这个状态可以在隐私窗口继承，按说这能有什么安全问题呢？下面分析一下。

HSTS实现的超级Cookie并不是什么新东西了，去年就有了，只是看到社区里呆子大神提到了这个东西，所以做一下介绍吧。

所谓超级cookie，就是一种客户端可以保存数据的手段，但是这种手段显然比cookie更厉害，是可以跨任何域的（这里根本没有域的概念了）。具体是怎么做的呢？

这里准备32个域名，并且两种状态的URL，一种是set hsts状态（注意，HSTS必须在HTTPS下才能设置，因此set操作始终发生在https中），另一种是get获取当前域名下hsts状态，这里以0和1来表示。

比如以下URL：

https://13-hsts-lab.radicalresearch.co.uk/hsts/set/1

该后端代码为：

<?php
header("Strict-Transport-Security: max-age=31536000; includeSubDomains")
//下面这个1是必须输出的值，cb回调函数里会用到
echo 1;
?>

做了两件事，一个是开启HSTS，另一个是标记当前域名下的HSTS状态，echo 1就是开启状态，这个在之后的回调函数中会用到。

另一种是get操作，这个就可以用http协议了，观察是否307到https了，判断HSTS是否生效。

https://13-hsts-lab.radicalresearch.co.uk/hsts/get

比如我们要记录一个二进制字符串：0101，那么需要四个域名进行数据保存，每个域名设置0或者1.

设置过程如下：

域名1：

https://1-hsts-lab.radicalresearch.co.uk/hsts/set/0

域名2：

https://:2-hsts-lab.radicalresearch.co.uk/hsts/set/1

域名3：

https://:3-hsts-lab.radicalresearch.co.uk/hsts/set/0

域名4：

https://:4-hsts-lab.radicalresearch.co.uk/hsts/set/1

当我们需要获取该二进制串数据时，需要写个js循环获取并将它们拼接起来：

域名1：

http://1-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['1'] =>!1

域名2：

http://:2-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['2'] => !0

域名3：

http://:3-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['3'] => !1

域名4：

http://:4-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['4'] =>!0

每次访问一次域名，就会从回调函数里获取到当前域名的HSTS的状态（0或者1），然后写个js将这4个访问结果进行组合，就会还原出我们一开始需要保存的二进制串：0101。

到这里基本就讲清楚HSTS 超级Cookie是咋回事儿了，有两个感受：

（1）这个洞说明各个浏览器厂商在功能繁杂的背景下实现一个新的浏览器标准难免会有问题，因为功能实在太多，有一点疏忽就会造成漏洞。

（2）虽然是超级cookie，但是上面的过程你也看到了，每次只能获取一个bit的数据，实际上是非常低效的，猜测实际应用场景应该不太大。

[ 1 ] http://www.kuqin.com/shuoit/20151023/348634.html

[ 2 ] http://www.cnblogs.com/liuminghai/p/4423143.html?utm_source=tuicool&utm_medium=referral#top