内容分发网络CDN

    配置HSTS

    功能概述

    当您在浏览器输入或直接单击 HTTP 链接时,服务器会将该 HTTP 请求的 301 和 302 重定向到 HTTPS。该操作过程可能被劫持,导致重定向后的请求未发送到服务器,通过开启 HSTS(HTTP Strict Transport Security)功能,您可以强制客户端(如浏览器)使用 HTTPS 与服务器创建连接,降低第一次访问被劫持的风险。

    HSTS 的响应头语法:Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload],参数说明如下表所示。

    参数 说明
    max-age 必选参数,单位为秒,它代表着HSTS Header的过期时间。
    Strict-Transport-Security 在浏览器缓存的时间,浏览器处理域名的HTTP访问时,若该域名的Strict-Transport-Security没有过期,则在浏览器内部做一次307重定向到HTTPS,从而避免浏览器和服务器之间301/302重定向被劫持的风险。
    includeSubDomains 可选参数。如果包含这个参数,说明当前域名及其所有子域名均开启HSTS保护。
    preload 可选参数,支持preload列表。

    前提条件

    在开启 HSTS 功能前,您需要确保已成功配置 HTTPS 证书,配置详情请参考证书管理

    操作步骤

    1. 登录CDN控制台,选择需要配置的CDN加速域名。
    2. 点击加速域名后的“管理”按钮,选择“HTTPS配置”页签。
    3. 在 HSTS 设置后,点击“编辑”,开始对 HSTS 参数进行配置。
    4. 选择“开启”并填写过期时间和是否包含子域名。

      注意:

      • 过期时间威HSTS响应头在浏览器的缓存时间,建议填写60天。
      • 如果选择开启“包含子域名”,需要确保该加速所有子域名都开启了HTTPS。
    5. 点击“确定”,完成 HSTS 的配置。
    上一篇
    配置TLS
    下一篇
    回源配置