开启HSTS让浏览器强制跳转HTTPS访问

重启Apache服务

$ service apche2 restart

Nginx上启用HSTS

$ vim /etc/nginx/conf.d/hi-linux.conf

server {
 ? listen 443 ssl;
 ? server_name www.hi-linux.com;
 ? add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
...
}

server {
 ? listen 80;
 ? server_name www.hi-linux.com;
 ? return 301 https://www.hi-linux.com$request_uri;
...
}

重启Nginx服务

$ service nginx restart

IIS启用HSTS

要在IIS上启用HSTS需要用到第三方模块,具体可参考：https://hstsiis.codeplex.com/

测试设置是否成功

设置完成了后,可以用curl命令验证下是否设置成功.如果出来的结果中含有Strict-Transport-Security的字段,那么说明设置成功了.

$ curl -I https://www.hi-linux.com
HTTP/1.1 200 OK
Server: nginx
Date: Sat,27 May 2017 03:52:19 GMT
Content-Type: text/html; charset=utf-8
...
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
X-Frame-Options: deny
X-XSS-Protection: 1; mode=block
X-Content-Type-Options: nosniff
...

对于HSTS以及HSTS Preload List,建议是只要不能确保永远提供HTTPS服务,就不要启用.因为一旦HSTS生效,之前的老用户在max-age过期前都会重定向到HTTPS,造成网站不能正确访问.唯一的办法是换新域名.

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!