- A+
所属分类:挨踢技术
如果你的网站已经启用了HTTPS安全链接的访问方式,并且打算一直使用这种方式的话,我建议你给你的网站添加HSTS的协议使你的网站更加安全。
目前进入网站的方式有两种:浏览器地址栏手动输入网址和搜索引擎点击进入。虽然你的网站启用了HTTPS安全链接的访问方式,但是没有人能每次都在你的域名前面打上“https://”,搜索引擎也不保证每次都会收录你https的网页;这个时候你会想到使用301重定向跳转,但是你能保证在http跳转https的时候不被劫持到钓鱼网站吗?
HSTS安全协议只需要用户成功一次使用HTTPS链接到你的网站,就会命令其浏览器以后强制使用HTTPS连接,这样就会提升网站的安全性。
HSTS的设置也是非常简单,我们以Nginx为例,只需要在网站配置里添加一行命令即可(LNMP环境是/usr/local/nginx/conf/vhost/相应网站配置):
- add_header Strict-Transport-Security "max-age=15768000;
把这段代码添加到你HTTPS规则当中(上面多少数字就是多少秒,15768000秒是半年),如下图的演示。
设置好以后别忘记重启Nginx。
- service nginx restart