title: 89.Nginx启用HSTS  
CreateTime: 2024-10-27 10:39:51  
UpdateTime: 2024-10-27 19:30:41  
CategoryName: Web  
---

# HSTS说明
HTTP Strict Transport Security（HSTS）是一种安全机制,可以帮助保护网站免受SSL/TLS剥离攻击和会话劫持等威胁.它强制客户端使用HTTPS与服务器建立安全连接,从而提高网站的安全性和数据保护级别.
![SSL-Strip-Attack.png](/public/upload/20241027102947696660363443624278.png)

# Nginx配置
在```http/server/location```中配置
```shell
## 添加 Strict-Transport-Security 的HTTP响应头,并设置了HSTS的相关选项
### max-age:指定HSTS策略的持续时间,以秒为单位.在此示例中,设置为31536000秒,相当于一年.
### includeSubDomains:指定是否包含子域名.通过设置此选项为true,HSTS策略将应用于所有子域名.
### preload:指示浏览器将网站添加到HSTS预加载列表中,以便所有浏览器都将始终使用HTTPS与网站建立连接.

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
```
浏览器F12查看网络请求的响应头,有```Strict-Transport-Security```即为配置成功

# 参考资料
- [如何在 Nginx 中启用 HSTS?](https://cloud.tencent.com/developer/article/2301990)
- [GitHub - evilcos/papers: my open papers](https://github.com/evilcos/papers)