HSTS,全称HTTP Strict Transport Security,即HTTP严格传输安全。HSTS是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。
HSTS可有效抵御SSL剥离攻击(SSL剥离攻击是中间人攻击的一种),因为只要浏览器与服务器建立过一次安全连接,之后浏览器便会强制使用HTTPS进行通信,即使链接被人为替换为HTTP。另外,如果中间人使用自己的自签名证书来进行攻击,浏览器会给出警告,但是许多用户会忽略警告。HSTS解决了这一问题,一旦服务器发送了HSTS字段,用户将不再被允许忽略警告。
除此之外,KB3058515还修复了其他24项安全漏洞,主要为远程执行代码漏洞。详情可参考微软安全公告