功能介绍
HSTS(HTTP Strict Transport Security,HTTP 严格传输安全),是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。网站可通过声明HSTS,来强制客户端(如浏览器)只能使用HTTPS与服务器连接,拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书,降低第一次访问请求被拦截的风险。
例如:
未启用HSTS时,当您的域名在边缘安全加速平台-安全与加速服务配置HTTPS时,在浏览器中输入HTTP协议的URL,用户访问到天翼云边缘节点时,如果配置了HTTP强制跳转HTTPS的功能,边缘节点会将该HTTP请求强制跳转到HTTPS,如果用户首次以HTTP协议访问边缘节点,HTTP请求可能会被拦截或者篡改,存在安全隐患。
启用HSTS后,当您的域名在边缘安全加速平台-安全与加速服务配置HTTPS时,在浏览器中输入HTTP协议的URL,用户访问到天翼云边缘节点时,如果配置了HTTP强制跳转HTTPS的功能,边缘节点节点会将该HTTP请求强制跳转到HTTPS,此时边缘节点会响应一个强制HSTS的头给客户端,告诉客户端只能使用HTTPS协议访问边缘节点,此后浏览器将直接使用HTTPS协议访问边缘节点,不再需要HTTP协议强制跳转HTTPS协议了。
注意事项
配置说明
1.登录边缘安全加速平台控制台。
2.在域名-基础配置页面,点击目标域名。
3.进入HTTPS配置页面,单击“编辑配置”。
4.点击开启“HSTS”即可配置相关参数。
| 参数 | 说明 |
|---|---|
| 过期时间 | 即Strict-Transport-Security响应头中max-age的值,单位为s;如过期时间为2592000s,则代表一个月内,访问该网站均需要使用HTTPS协议。 |
| 是否包含子域名 | 即Strict-Transport-Security响应头中是否需要包括includeSubDomains;如包括,则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。 |
