功能介绍
HSTS(HTTP Strict Transport Security,HTTP 严格传输安全),是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。网站可通过声明HSTS,来强制客户端(如浏览器)只能使用HTTPS与服务器连接,拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书,降低第一次访问请求被拦截的风险。例如:
当您的域名在CDN加速产品中配置HTTPS功能和HTTP强制跳转HTTPS的功能时,若用户在浏览器中输入HTTP协议的URL进行访问,CDN节点会将该HTTP请求强制跳转到HTTPS协议,此时:
- 若未启用HSTS功能,且用户是首次以HTTP协议访问CDN节点,HTTP请求可能会被拦截或者篡改,存在安全隐患。
- 若启用HSTS功能,CDN节点会响应一个强制HSTS的头(例如:Strict-Transport-Security:max-age=xxxx;includeSubDomains)给客户端,告诉客户端只能使用HTTPS协议访问CDN节点,此后浏览器将直接使用HTTPS协议访问CDN节点,不再需要HTTP协议强制跳转HTTPS协议。
注意事项
配置说明
- 登录CDN控制台。
- 单击左侧导航栏【域名管理】-【域名列表】。
- 在【域名列表】页面,找到目标域名,单击【操作】列的【编辑】。
- 单击右侧【请求协议】。
- 在【请求协议】模块,勾选【HTTPS】。
- 单击右侧【HTTPS配置】。
- 在【证书】模块,选择域名对应的证书。如果已经在证书管理上传证书,可直接选择对应域名证书。如果还未上传证书,可单击【点击上传】,添加自有证书。添加完毕后,再选择对应证书。
- 在【HSTS】模块,开启功能并根据需求填写配置。
- 单击【保存】,完成配置。
参数 | 说明 |
---|---|
过期时间 | 即Strict-Transport-Security响应头中max-age的值,单位为s;如过期时间为2592000s,则代表一个月内,访问该网站均需要使用HTTPS协议。 |
包含子域名 | 即Strict-Transport-Security响应头中是否需要包括includeSubDomains;如包括,则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。 |