HSTS说明

HTTP Strict Transport Security(HSTS)是一种安全机制,可以帮助保护网站免受SSL/TLS剥离攻击和会话劫持等威胁.它强制客户端使用HTTPS与服务器建立安全连接,从而提高网站的安全性和数据保护级别.SSL-Strip-Attack.png

Nginx配置

http/server/location中配置

## 添加 Strict-Transport-Security 的HTTP响应头,并设置了HSTS的相关选项
### max-age:指定HSTS策略的持续时间,以秒为单位.在此示例中,设置为31536000秒,相当于一年.
### includeSubDomains:指定是否包含子域名.通过设置此选项为true,HSTS策略将应用于所有子域名.
### preload:指示浏览器将网站添加到HSTS预加载列表中,以便所有浏览器都将始终使用HTTPS与网站建立连接.

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

浏览器F12查看网络请求的响应头,有Strict-Transport-Security即为配置成功

参考资料