web server开启HSTS

1 在 Apache2 中设置 HSTS 编辑你的 apache 配置文件 httpd.conf ,并加以下行到你的 HTTPS VirtualHost:

# Optionally load the headers module:
LoadModule headers_module modules/mod_headers.so
<VirtualHost 8.8.8.8:443>
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Header always set Strict-Transport-Security "max-age=31536000"
</VirtualHost>

  现在你的 web 站点在每次访问时都会发送该请求头,失效时间是两年(秒数)。这个失效时间每次都会设置为两年后,所以,明天你访问时,它会设置为明天的两年后。 你只能在 HTTPS 虚拟机中设置这个头,而不能设置在 HTTP 虚拟机中。 2 Nginx 更简单,将下述行添加到你的 HTTPS 配置的 server 块中:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
add_header Strict-Transport-Security "max-age=31536000";

另外,可以申请加入浏览器的静态HSTS列表
https://hstspreload.org

加入后可以在这里查询
https://cs.chromium.org/chromium/src/net/http/transport_security_state_static.json

此处评论已关闭