给你的HTTPS网站添加HSTS安全协议

  • A+
所属分类:挨踢技术

如果你的网站已经启用了HTTPS安全链接的访问方式,并且打算一直使用这种方式的话,我建议你给你的网站添加HSTS的协议使你的网站更加安全。

目前进入网站的方式有两种:浏览器地址栏手动输入网址和搜索引擎点击进入。虽然你的网站启用了HTTPS安全链接的访问方式,但是没有人能每次都在你的域名前面打上“https://”,搜索引擎也不保证每次都会收录你https的网页;这个时候你会想到使用301重定向跳转,但是你能保证在http跳转https的时候不被劫持到钓鱼网站吗?

HSTS安全协议只需要用户成功一次使用HTTPS链接到你的网站,就会命令其浏览器以后强制使用HTTPS连接,这样就会提升网站的安全性。

HSTS的设置也是非常简单,我们以Nginx为例,只需要在网站配置里添加一行命令即可(LNMP环境是/usr/local/nginx/conf/vhost/相应网站配置):

  1. add_header Strict-Transport-Security "max-age=15768000;

把这段代码添加到你HTTPS规则当中(上面多少数字就是多少秒,15768000秒是半年),如下图的演示。

给你的HTTPS网站添加HSTS安全协议

设置好以后别忘记重启Nginx。

  1. service nginx restart
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: