HTTP Strict Transport Security(HSTS)是一种安全机制,可以帮助保护网站免受SSL/TLS剥离攻击和会话劫持等威胁。它强制客户端使用HTTPS与服务器建立安全连接,从而提高网站的安全性和数据保护级别。HSTS只能与HTTPS一起使用,因此在启用HSTS之前,确保网站已经使用有效的SSL/TLS证书启用了HTTPS。

1.编辑Nginx配置文件nginx.conf

2.在http块内添加以下行:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

添加一个名为 Strict-Transport-Security 的HTTP响应头,并设置了HSTS的相关选项。

  • max-age:指定HSTS策略的持续时间(浏览器缓存),以秒为单位。在此示例中,设置为31536000秒,相当于一年。
  • includeSubDomains:指定是否包含子域名。通过设置此选项为true,HSTS策略将应用于所有子域名。不包含可以将includeSubDomains选项删除或设置为false

  • preload:允许浏览器将自动预加载配置,以便所有浏览器都将始终使用HTTPS与网站建立连接。

    预加载可能会使不支持HTTPS的网站完全不可访问

3.重新加载Nginx以使更改生效

systemctl reload nginx

4.验证HSTS设置

在 "Headers" 或 "Response Headers" 部分查找 Strict-Transport-Security 头,若其值与您在配置文件中设置的值相匹配,则表示HSTS已成功启用。

标签: Web

添加新评论

您是第 68121 位访客