通过开启HSTS(HTTP Strict Transport Security)功能,您可以强制客户端(例如:浏览器)使用HTTPS与边缘安全加速 ESA节点创建连接,提高安全性。
HSTS
HSTS(HTTP Strict Transport Security,HTTP 严格传输安全)是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。
配置HSTS后,客户端第一次使用HTTPS与边缘安全加速 ESA节点连接时,边缘安全加速 ESA节点通过使用响应头Strict-Transport-Security
来告知客户端后续一段时间内访问时只能使用HTTPS访问,并阻止HTTP请求,HSTS响应头结构为:Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload]
,参数说明如下表所示。
参数 | 说明 |
max-age | HSTS Header的过期时间,单位为秒,客户端在此时间段内强制使用HTTPS访问。 |
includeSubDomains | 可选参数。如果包含这个参数,说明该域名及其所有子域名均开启HSTS。 |
preload | 可选参数。当您申请将域名加入到浏览器内置列表时需要使用preload列表。 |
注意事项
在开启HSTS之前,请确保您的站点已成功配置SSL/TLS证书并开启SSL/TLS功能。详细情况请参见配置边缘证书。
HSTS策略仅对域名有效,对IP无效。
配置HSTS后,如果客户端第一次访问时使用HTTP,此时由于HSTS策略未同步至客户端,边缘安全加速 ESA节点会将该HTTP请求强制重定向到HTTPS,从而避免此安全隐患。
配置HSTS后,客户端只能使用HTTPS协议访问边缘安全加速 ESA节点,请勿同时配置HTTPS强制跳转HTTP。
由于HSTS策略在客户端生效,关闭HSTS后无法立即生效,需要执行刷新使HSTS策略在客户端下一次HTTPS请求时下发给客户端。
开启HSTS
登录ESA控制台。
在左侧导航栏,单击站点管理。
在站点管理页面,单击目标站点名称,或对应站点操作列的详情。
在左侧导航栏,选择
。在HSTS区域,点击配置,打开状态开关,然后单击确认。