Ответ на вопрос: http-запросы уязвимы для атаки человек посередине. Что, если я намеренно сделаю http-запрос? HSTS ограничит это. HSTS расшифровывается как HTTP Strict Transport Security. Если вы наберете http://medium.com и нажмете Enter в своем браузере, вы увидите, что http автоматически преобразуется в https. Это связано с реализацией HSTS в большинстве браузеров.

1)Человек посередине атакует http
Рассмотрим сценарий, в котором вы отправляете HTTP-запрос на веб-сайт, на котором не включен HSTS. Хакер может попытаться получить доступ к вашей информации, может прервать http-запрос и сделать https-запрос на веб-сайт, получить ответ и расшифровать его, передав его вам через http. Хакер будет промежуточным звеном между вами и веб-сайтом и может получить учетные данные, такие как пароль и имя пользователя. Затем он может использовать его для чего угодно, о чем вы никогда не узнаете, потому что вы получите нужный вам веб-сайт, и вы получите информацию на том же http, который вы набрали (Нет sus!).

2) Как HSTS предотвращает это?
Сначала браузер отправляет HTTP-запрос на сервер, а сервер отправляет перенаправление 301 (код перенаправления https) на свой URL-адрес https.

Второй случай: Вы делаете https-запрос к серверу в первый раз, браузер добавляет домен с ограничением по времени (называется возраст обычно 1-2 года), а также добавляет свой субдомен (пример для субдомена «photos.example.com»). «фотографии», а домен — «пример»). Теперь браузер будет автоматически перенаправлять запросы на фотографии субдомена (пример «photos.story.com») на свой URL-адрес https. Заголовок ответа:
Strict-Transport-Security: max-age=31536000; includeSubDomains

Последнее: в основном все веб-сайты, которые вы видите, регистрируются для предварительной проверки, и они будут доступны для доступа в браузерах. Предварительный запрос выполняется до того, как будет сделан фактический запрос, и проверьте, реализован ли HSTS на веб-сайте, и если да, то браузер будет разрешать только запросы https и не позволит пользователю, даже если он разрешает небезопасный контент в настройках.

Для разработчиков
Если вы разработчик и вам нужно отправить запрос на локальный сервер, поддерживающий http, вы можете удалить домен или IP-адрес сервера, введя в chrome: «chrome ://net-internals/#hsts». Вы также можете проверить, сохранены ли в вашем браузере файлы hsts для домена веб-сайта. Удаление домена зарегистрированного веб-сайта не приведет к доступу к нему по протоколу https, поскольку для большинства веб-сайтов будет зарегистрирована предварительная проверка.