怎么设置 HSTS 头字段

Posted 我是可爱的

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了怎么设置 HSTS 头字段相关的知识,希望对你有一定的参考价值。

HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。

HSTS响应头格式

Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]

max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过HTTPS协议来访问。也就是对于这个网站的HTTP地址,浏览器需要先在本地替换为HTTPS之后再发送请求。ssl证书申请

includeSubDomains,可选参数,如果指定这个参数,表明这个网站所有子域名也必须通过HTTPS协议来访问。

 

preload,可选参数,一个浏览器内置的使用HTTPS的域名列表。

如何设置 HSTS 头字段

方法一:通过源程序实现/万能实现方式:

# 技术人员可以通过改写 php/aspx/java 程序,增加一个 HTTP 头应答字段:

Strict-Transport-Security: max-age=31536000; includeSubdomains; preload

方法二:面向 Nginx 源服务器:

# 在配置站点域名的地方添加一行

add_header Strict-Transport-Security “max-age=31536000; includeSubdomains; preload”;

方法三:面向 Apache2 源服务器:

# 确保加载/启动一个模块

LoadModule headers_module modules/mod_headers.so# 在配置站点域名的地方添加一行

Header always set Strict-Transport-Security “max-age=31536000; includeSubdomains; preload”

​越来越多站点将HTTP协议升级为HTTPS协议,而SSL证书是升级HTTPS最流行的解决方案。SSL证书是HTTPS加密协议必备条件,是网络安全传输的加密通道。 ​

以上是关于怎么设置 HSTS 头字段的主要内容,如果未能解决你的问题,请参考以下文章

c# 怎么设置http报文头

怎么关掉HSTS

Nginx-HTTP Strict Transport Security(HSTS)

nextcloud无法查询系统状况

如何关闭浏览器的HSTS功能

如何仅在 HTTPS 上从 .htaccess 设置 HSTS 标头 [关闭]