功能介绍
HSTS(HTTP Strict Transport Security,HTTP 严格传输安全),是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。网站可通过声明HSTS,来强制客户端(如浏览器)只能使用HTTPS与服务器连接,拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书,降低第一次访问请求被拦截的风险。例如:
- 未启用HSTS时,当您的域名在全站加速产品配置HTTPS时,在浏览器中输入HTTP协议的URL,用户访问到全站加速节点时,如果配置了HTTP强制跳转HTTPS的功能,全站加速节点会将该HTTP请求强制跳转到HTTPS,如果用户首次以HTTP协议访问全站加速节点,HTTP请求可能会被拦截或者篡改,存在安全隐患。
- 启用HSTS后,当您的域名在全站加速产品配置HTTPS时,在浏览器中输入HTTP协议的URL,用户访问到全站加速节点时,如果配置了HTTP强制跳转HTTPS的功能,全站加速节点会将该HTTP请求强制跳转到HTTPS,此时全站加速节点会响应一个强制HSTS的头给客户端,告诉客户端只能使用HTTPS协议访问全站加速节点,此后浏览器将直接使用HTTPS协议访问全站加速节点,不再需要HTTP协议强制跳转HTTPS协议了。
注意事项
配置说明
如您需要配置HSTS功能,请提交工单给天翼云客服,由其帮您配置。
提交工单时需说明如下:
参数 | 说明 |
---|---|
过期时间 | 即Strict-Transport-Security响应头中max-age的值,单位为s;如过期时间为2592000s,则代表一个月内,访问该网站均需要使用HTTPS协议。 |
是否包含子域名 | 即Strict-Transport-Security响应头中是否需要包括includeSubDomains;如包括,则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。 |