你的网站加入 HSTS preload 预加载列表了吗
💡
原文中文,约2600字,阅读约需7分钟。
📝
内容提要
HSTS(HTTP Strict Transport Security)是一种安全机制,强制浏览器使用HTTPS与网站通信,减少会话劫持的风险。通过启用HSTS,浏览器只会使用HTTPS访问网站,防止被ISP或中间人拦截。要启用HSTS,需要在HTTPS响应中添加Strict-Transport-Security头。将网站预加载到HSTS预加载列表中可以进一步增强安全性并加快网站加载速度。但是,加入预加载列表需要确保所有子域名支持HTTPS。HSTS有效地防止NTP攻击,可以在hstspreload.org上进行检查和提交。加入预加载列表意味着所有域名和子域名都将被强制使用HTTPS,因此确保所有子域名支持HTTPS非常重要。由于缓存的原因,退出预加载列表可能需要一年或更长时间。
🎯
关键要点
- HSTS(HTTP Strict Transport Security)是一种安全机制,强制浏览器使用HTTPS与网站通信,减少会话劫持的风险。
- 启用HSTS需要在HTTPS响应中添加Strict-Transport-Security头,支持HTTPS的所有子域名也必须符合要求。
- HSTS的三种写法包括:max-age、includeSubDomains和preload,preload允许网站加入预加载列表。
- HSTS预加载列表可以加速网站加载,因为浏览器会直接使用HTTPS访问,无需HTTP重定向。
- 加入HSTS预加载列表可以有效防止会话劫持和NTP攻击,确保安全性。
- 要加入HSTS预加载列表,需确保一级域名支持HTTPS,并在响应头中设置相应参数。
- 加入预加载列表后,所有子域名也将强制使用HTTPS,确保所有子域名支持HTTPS非常重要。
- 退出HSTS预加载列表可能需要一年或更长时间,因缓存原因影响。
➡️
