1 在 Apache2 中设置 HSTS 编辑你的 apache 配置文件 httpd.conf ,并加以下行到你的 HTTPS VirtualHost:
# Optionally load the headers module: LoadModule headers_module modules/mod_headers.so <VirtualHost 8.8.8.8:443> Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" Header always set Strict-Transport-Security "max-age=31536000" </VirtualHost>
现在你的 web 站点在每次访问时都会发送该请求头,失效时间是两年(秒数)。这个失效时间每次都会设置为两年后,所以,明天你访问时,它会设置为明天的两年后。 你只能在 HTTPS 虚拟机中设置这个头,而不能设置在 HTTP 虚拟机中。 2 Nginx 更简单,将下述行添加到你的 HTTPS 配置的 server 块中:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; add_header Strict-Transport-Security "max-age=31536000";
另外,可以申请加入浏览器的静态HSTS列表
https://hstspreload.org
加入后可以在这里查询
https://cs.chromium.org/chromium/src/net/http/transport_security_state_static.json
此处评论已关闭