网站开启HSTS增强安全性

前几天，一直在为我网站的安全证书发愁，老是没有绿锁，只有一把黑锁，然后在我的误打误撞下弄好了，证书等级也A+啦，来给大家分享一下我的喜悦和方法

SSL/TSL安全评级:https://myssl.com/

HSTS简介

HSTS的作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接。服务器开启HSTS的方法是，当客户端通过HTTPS发送请求时，在服务器返回的超文本传输​​协议（HTTP）响应头中包含非严格传输时设置的HSTS细分无效。

例如，https://example.com/ 的响应头包含Strict-Transport-Security：max-age = 31536000; includeSubDomains。这意味着两点：

在接下来的31536000sec（即一年）中，浏览器向example.com另一个子域名发送HTTP请求时，必须采用HTTPS来发起连接。例如，用户点击超链接或在地址栏输入http：// www.example.com/ ，浏览器正确自动将http转写成https，然后直接向https://www.example.com/ 发送请求。

在接下来的一年中，如果exam​​ple.com服务器发送的TLS证书无效，用户不能忽略浏览器警告继续访问网站。

来源：百度百科

Nginx配置

编辑Nginx配置文件（如：/usr/local/nginx/conf/nginx.conf）将下面的行添加到您的HTTPS配置的服务器中

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

配置完成后重启Nginx

因为我是Nginx系统，所以就只专研了关于Nginx的，宝塔面板可以直接傻瓜式修改，如果你弄了后没有A+，F12检查有没有引用非Htts资源，删除后就有A+辽，前提是所有的配置都没问题

Apache配置请移步:https://qsh5.cn/1415.html

版权属于：奥秘Sir（除特别注明外）

本文链接：https://cloud.tencent.com/developer/article/1793220

本站文章采用 知识共享署名4.0 国际许可协议进行许可，请在转载时注明出处及本声明！