如何啟用HTTP嚴格運輸安全（HSTS）？

啟用HSTS 的方法是在HTTPS 網站中配置Strict-Transport-Security 響應頭，具體操作為：1. Nginx 在server 塊添加add_header 指令；2. Apache 在配置文件或.htaccess 添加Header 指令；3. IIS 在web.config 添加customHeaders；需確保站點已完整支持HTTPS，參數包括max-age（有效期）、includeSubDomains（子域名生效）、preload（預加載列表），提交到HSTS Preload 列表前提包括根域名和子域名均支持HTTPS、有有效證書、根路徑返回200 響應，可通過瀏覽器開發者工具、SSL Labs Test 或curl 命令測試是否生效。

啟用HTTP 嚴格傳輸安全（HSTS）其實就是在你的HTTPS 網站上配置一個響應頭，告訴瀏覽器今後訪問這個網站必須走HTTPS，不能用明文的HTTP。這樣做的好處是防止SSL 剝離攻擊、強制加密連接，提升安全性。

下面說說怎麼在不同場景下正確啟用HSTS。

如何在Web 服務器中配置HSTS？

主流的Web 服務器都支持添加HSTS 響應頭，關鍵是在響應中加入：

 Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

具體操作如下：

• Nginx ：在HTTPS 的server 塊裡加上：

   add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

• Apache ：在虛擬主機配置或.htaccess中添加：

   Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

• IIS ：在web.config 文件的system.webServer 段落添加：

   <httpProtocol>
    <customHeaders>
      <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload" />
    </customHeaders>
  </httpProtocol>

注意：配置前確保你的站點已經完整支持HTTPS，否則開啟後可能會導致無法訪問。

HSTS 頭字段各參數的作用

• max-age ：指定瀏覽器強制使用HTTPS 的時間（單位秒），比如31536000 秒就是一年。
• includeSubDomains ：表示該策略適用於所有子域名。
• preload ：允許你將域名提交到瀏覽器內置的HSTS 預加載列表中，這樣用戶第一次訪問時也強制HTTPS。

如果你只是想先測試，可以暫時不加preload ，等確認沒問題再加上。一旦提交到預加載列表，就不能輕易撤回了。

提交到HSTS Preload 列表需要注意什麼？

如果你想讓你的域名被主流瀏覽器默認以HTTPS 方式加載，就得去//m.sbmmt.com/link/ef96003dff3714cf3720aee9b14503b7提交申請。

前提條件包括：

• 根域名和所有子域名都必須支持HTTPS
• 必須有有效的證書
• 必須在根路徑返回200 的響應（用於驗證）
• 已經正確設置了HSTS 響應頭，包含includeSubDomains和preload

提交之後，需要等待一段時間才會被加入Chrome、Firefox 等瀏覽器的預加載列表中。

測試HSTS 是否生效

你可以通過以下方式檢查是否設置成功：

• 使用瀏覽器開發者工具（F12），查看響應頭中是否有Strict-Transport-Security
• 用在線工具如SSL Labs Test檢查你的網站安全配置
• 嘗試用curl 命令查看響應頭：

   curl -I http://yourdomain.com

  如果看到HSTS 頭，並且值符合預期，就說明配置生效了。

  ---

  基本上就這些。配置HSTS 不復雜，但容易忽略細節，比如誤加preload 或者沒覆蓋子域名，所以建議逐步來，先測試再上線。

  以上是如何啟用HTTP嚴格運輸安全（HSTS）？的詳細內容。更多資訊請關注PHP中文網其他相關文章！