你们的网站开启HSTS 了吗？

Gim · 发表于 2023-12-29 15:30:19

你们的网站开启HSTS 了吗？

具体设置参数呢？

欧阳逍遥 · 发表于 2023-12-29 15:31:53

我是在 nginx 里加了一句

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

这里的 max-age 设置了 HSTS 头部在客户端的缓存时间为两年（以秒为单位）。includeSubdomains 指令告诉浏览器，该 HSTS 策略也应用于所有子域。preload 指令表示您希望您的网站被预加载到浏览器的 HSTS 列表中。

921 · 发表于 2023-12-29 15:31:18

就在cf按默认的开呗

我的心是冰冰的 · 发表于 2023-12-29 15:31:55

ns用的cf默认配置，不知道开没开

mengdodo · 发表于 2023-12-29 16:45:18

我连ssl都懒得开，你跟我谈HSTS

Mio · 发表于 2023-12-29 16:52:31

欧阳逍遥发表于 2023-12-29 15:31
我是在 nginx 里加了一句

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; ...

再加个这个 https://hstspreload.org/

yesman · 发表于 2023-12-29 17:01:22

欧阳逍遥发表于 2023-12-29 15:31
我是在 nginx 里加了一句

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; ...

欧阳老头，还需要去申请加入列表才稳妥。http://hstspreload.org/

poctopus · 发表于 2023-12-29 17:06:26

Mio 发表于 2023-12-29 16:52
再加个这个 https://hstspreload.org/

居然不支持二级域名，差评。

一把手 · 发表于 2023-12-29 17:22:06

差评

宁静致远 · 发表于 2023-12-29 18:41:16

欧阳逍遥发表于 2023-12-29 15:31
我是在 nginx 里加了一句

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; ...

大佬这方法适用宝塔吗？

		自动登录	找回密码
密码			注册

[美国VPS] 你们的网站开启HSTS 了吗 ？

[美国VPS] 你们的网站开启HSTS 了吗？