如何启用HTTP严格运输安全（HSTS）？

启用 HSTS 的方法是在 HTTPS 网站中配置 Strict-Transport-Security 响应头，具体操作为：1. Nginx 在 server 块添加 add_header 指令；2. Apache 在配置文件或 .htaccess 添加 Header 指令；3. IIS 在 web.config 添加 customHeaders；需确保站点已完整支持 HTTPS，参数包括 max-age（有效期）、includeSubDomains（子域名生效）、preload（预加载列表），提交到 HSTS Preload 列表前提包括根域名和子域名均支持 HTTPS、有有效证书、根路径返回 200 响应，可通过浏览器开发者工具、SSL Labs Test 或 curl 命令测试是否生效。

启用 HTTP 严格传输安全（HSTS）其实就是在你的 HTTPS 网站上配置一个响应头，告诉浏览器今后访问这个网站必须走 HTTPS，不能用明文的 HTTP。这样做的好处是防止 SSL 剥离攻击、强制加密连接，提升安全性。

下面说说怎么在不同场景下正确启用 HSTS。

如何在 Web 服务器中配置 HSTS？

主流的 Web 服务器都支持添加 HSTS 响应头，关键是在响应中加入：

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

具体操作如下：

• Nginx：在 HTTPS 的 server 块里加上：

  add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

• Apache：在虚拟主机配置或 .htaccess 中添加：

  Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

• IIS：在 web.config 文件的 system.webServer 段落添加：

  <httpProtocol>
    <customHeaders>
      <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload" />
    </customHeaders>
  </httpProtocol>

注意：配置前确保你的站点已经完整支持 HTTPS，否则开启后可能会导致无法访问。

HSTS 头字段各参数的作用

• max-age：指定浏览器强制使用 HTTPS 的时间（单位秒），比如 31536000 秒就是一年。
• includeSubDomains：表示该策略适用于所有子域名。
• preload：允许你将域名提交到浏览器内置的 HSTS 预加载列表中，这样用户第一次访问时也强制 HTTPS。

如果你只是想先测试，可以暂时不加 preload，等确认没问题再加上。一旦提交到预加载列表，就不能轻易撤回了。

提交到 HSTS Preload 列表需要注意什么？

如果你想让你的域名被主流浏览器默认以 HTTPS 方式加载，就得去 //m.sbmmt.com/link/ef96003dff3714cf3720aee9b14503b7 提交申请。

前提条件包括：

• 根域名和所有子域名都必须支持 HTTPS
• 必须有有效的证书
• 必须在根路径返回 200 的响应（用于验证）
• 已经正确设置了 HSTS 响应头，包含 includeSubDomains 和 preload

提交之后，需要等待一段时间才会被加入 Chrome、Firefox 等浏览器的预加载列表中。

测试 HSTS 是否生效

你可以通过以下方式检查是否设置成功：

• 使用浏览器开发者工具（F12），查看响应头中是否有 Strict-Transport-Security
• 用在线工具如 SSL Labs Test 检查你的网站安全配置
• 尝试用 curl 命令查看响应头：

  curl -I http://yourdomain.com

  如果看到 HSTS 头，并且值符合预期，就说明配置生效了。

  ---

  基本上就这些。配置 HSTS 不复杂，但容易忽略细节，比如误加 preload 或者没覆盖子域名，所以建议逐步来，先测试再上线。

  以上是如何启用HTTP严格运输安全（HSTS）？的详细内容。更多信息请关注PHP中文网其他相关文章！