HSTS 配置

最近更新时间:2024-08-22 16:36:16

我的收藏

配置场景

HSTS 即 HTTP Strict Transport Security,是国际互联网工程组织 IETE 推行的 Web 安全协议,通过强制客户端(浏览器等)使用 HTTPS 与服务器创建链接,帮助网站进行全局加密。
例如:当您已配置 HTTPS 证书时,若当前未开启 HSTS 配置,如果当前已配置了 HTTPS 强制跳转,用户仍然可以通过 HTTP 开头的 URL 向浏览器发起域名请求,当 CDN 收到该 HTTP 开头的 URL 请求时,将通过 HTTPS 强制跳转修改为 HTTPS 进行加密请求验证,但是用户在发起请求至 CDN 节点时,因为通过 HTTP 请求仍然可能存在被劫持、篡改的风险。 如果已开启 HSTS 配置,用户仅可以通过 HTTPS 协议来进行请求,来加强请求的安全性。

配置约束

expireTime 约束为0 - 365天,配置时单位为秒。
可通过勾选是否包含子域名,来控制 includeSubDomain 参数。
开启 HSTS 配置需要先完成 HTTPS 加速配置。
开启 HSTS 后,建议您同步开启 强制跳转 HTTP->HTTPS 配置,否则当请求为 HTTP 时,浏览器将不会进行 HSTS 缓存。

配置指南

登录 CDN 控制台,在菜单栏里选择域名管理,单击域名右侧管理,即可进入域名配置页面,HTTPS 配置中可看到 HSTS 配置模块,默认情况下为关闭状态:

单击开启,可进行相关配置:

单击确定后,根据所配置的内容决定响应头值,可单击编辑进行修改:

过期时间指的是 HSTS 的响应头 Strict-Transport-Security 在浏览器内的缓存过期时间。

配置示例

假设域名cloud.tencent.com的 HSTS 配置如下:

访问时其 Response Header 为: