HSTS是HTTP Strict Transport Security的缩写,它是一种安全协议, 旨在增强Web应用程序的安全性。本文介绍如何配置hsts插件。
插件类型
流量管控。
功能说明
HSTS插件的作用是通知浏览器在未来的一段时间内,它应该只使用HTTPS与该服务器进行通信。HSTS与HTTPS强跳转的不同地方在于,HSTS对于HTTP请求可以直接在浏览器通过307内部跳转完成HTTPS转换,无需执行额外的网络请求。
插件原理
hsts插件会对所有的HTTPS响应中添加strict-transport-security头部,关于值的部分,其中:
max_age:强制使用HTTPS访问网站的最大持续时间(以秒为单位)。include_sub_domains:当前域名以及子域名强制使用HTTPS访问网站。
配置字段
名称 | 数据类型 | 填写要求 | 默认值 | 描述 |
max_age | number | 选填。 | 15724800 | 强制使用HTTPS访问网站的最大持续时间(以秒为单位)。 |
include_sub_domains | bool | 选填。 | false | 当前域名以及子域名强制使用HTTPS访问网站。 |
说明
当开启include_sub_domains时,当前域名以及子域名强制使用HTTPS访问网站,必须确保所有子域名都支持HTTPS,否则用户将无法访问这些子域名。 建议您在启用include_sub_domains之前先确保所有子域名都配置为支持HTTPS。
该文章对您有帮助吗?