什么是HSTS

HTTP严格传输安全协议(英语:HTTP Strict Transport Security,简称:HSTS),是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。 HSTS可以很大程度上解决SSL剥离攻击,因为只要浏览器曾经与服务器创建过一次安全连接,之后浏览器会强制使用HTTPS,即使链接被换成了HTTP。 ##开启HSTS证书的前提## 正确设置了SSL证书,网站可以通过https协议正常访问 ##ngnix如何开启HSTS## 在网站配置文件server{}中加入

add_header Strict-Transport-Security "max-age=31536000;

如果追求更好的安全效果可以改成加入

add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";

includeSubdomains参数会使得浏览器在请求所有子域名时都强制要求HTTPS协议,如果没有给所有子域名都添加SSL证书的打算,请不要输入这个参数