配置 Nginx 的 HSTS 安全响应头时,max-age 参数是最核心的设置。它的值直接决定了浏览器记住"这个域名必须用 HTTPS"的时间长度。设得太短,防护效果有限;设得太长,一旦配置出错恢复成本高。新手经常卡在不知道该选哪个值,本文从官方推荐出发,给出分阶段的实操建议。
max-age 的基本概念
Strict-Transport-Security 响应头的标准格式如下:
Strict-Transport-Security: max-age=过期秒数
max-ag...
HSTS 第2页
-
2026.05.26 | youres | 17次围观
-
2026.05.26 | youres | 8次围观
鍓嶈█鍦ㄧ綉绔欏紑鍙戝拰杩愮淮杩囩▼涓紝HSTS锛圚TTP Strict Transport Security锛夋槸涓€涓潪甯告湁鏁堢殑瀹夊叏绛栫暐锛屽畠鑳藉己鍒舵祻瑙堝櫒浣跨敤HTTPS杩炴帴缃戠珯銆備絾鏈夋椂鍊欙紝鎴戜滑姝e湪娴嬭瘯鐜鎴栬€呴渶瑕佷复鏃惰闂瓾TTP鐗堟湰鏃讹紝HSTS缂撳瓨浼氭垚涓烘嫤璺檸銆備粖澶╁氨褰诲簳璁叉竻妤欳hrome娴忚鍣ㄤ腑濡備綍娓呴櫎HSTS缂撳瓨锛岀壒鍒槸閫氳繃chrome://net-internals椤甸潰鐨勬柟娉曘€?... -
2026.05.25 | youres | 13次围观
测试标题这是测试内容...
-
2026.05.25 | youres | 14次围观
# HSTS preload列表提交后多久生效?从提交到Chrome内置的完整时间线 很多人在[hstspreload.org](https://hstspreload.org/)提交域名后,最关心的问题就是:**到底多久才能生效?** 今天咱们把这个问题彻底讲清楚,从提交到真正生效的完整时间线,让你心里有数。 ## HSTS preload生效机制解析 首先要明白一件事:**HSTS preload列表不是实时生效的**。 和你配置Nginx后立刻就能看到HSTS... -
2026.05.25 | youres | 13次围观
目录 什么是HSTS预加载列表 提交HSTS预加载的前提条件 提交失败的7个常见原因 提交失败后的排查步骤 成功提交后的注意事项 相关文章推荐 什么是HSTS预加载列表 HSTS Preload List是由各大浏览器厂商维护的一组域名清单。一旦你的域名被加入这个列表,浏览器会直接通过HTTPS访问你的网站,即使用户在地址栏输入的是http://。这意味着你的域名从根本上杜绝了HTTP明文访问的可能性。 目前主流浏览器(Chrome、Firefox、Edge、Safar... -
2026.05.25 | youres | 16次围观
很多人在配置完HSTS之后,访问网站发现浏览器还是走HTTP。这是一件很让人困惑的事情——明明已经在服务器上配置了Strict-Transport-Security响应头,为什么没有生效? 这篇文章就来说清楚这个问题,从5个方向系统排查,帮你找出真正的原因。 1. 确认HSTS响应头是否真正返回 第一步,先确认服务器真的返回了HSTS头。你可以用curl命令检查: curl -I https://your-domain.com 看响应头中是否包含Strict-Tra... -
2026.05.25 | youres | 15次围观
很多人在配置完HSTS之后,访问网站发现浏览器还是走HTTP。这是一件很让人困惑的事情——明明已经在服务器上配置了Strict-Transport-Security响应头,为什么没有生效? 这篇文章就来说清楚这个问题,从5个方向系统排查,帮你找出真正的原因。 1. 确认HSTS响应头是否真正返回 第一步,先确认服务器真的返回了HSTS头。你可以用curl命令检查: curl -I https://your-domain.com 看响应头中是否包含Strict-Tra...
-
2026.05.25 | youres | 20次围观
Strict-Transport-Security为什么不生效? 配置了HSTS响应头,浏览器却还是走HTTP访问?这是很多运维和开发人员踩过的坑。Strict-Transport-Security(简称HSTS)的生效条件比想象中更严格,一个细节没注意到就可能白配置。本文把最常见的6个不生效原因整理出来,帮你快速定位问题。 一、HSTS响应头只在HTTPS响应中生效 这是最容易被忽略的一点:浏览器只会在HTTPS响应中接受Strict-Transport-Security... -
2026.05.25 | youres | 17次围观
什么是HSTS缓存 HSTS(HTTP Strict Transport Security,HTTP严格传输安全)是一种Web安全策略机制,通过服务器返回的Strict-Transport-Security响应头,告诉浏览器只能使用HTTPS连接该网站,而不得使用HTTP协议进行通信。 当浏览器接收到HSTS响应头后,会将域名及其HSTS策略缓存到本地。在缓存有效期内(由max-age指令指定),浏览器会强制使用HTTPS访问该域名,即使用户手动输入HTTP地址或点击HTTP...
-
2026.05.25 | youres | 23次围观
什么是HSTS Preload列表 HSTS(HTTP Strict Transport Security)preload列表是一个硬编码在浏览器中的域名列表。浏览器在第一次访问这些域名时,就会强制使用HTTPS连接。 这个列表由 hstspreload.org 维护,提交通过后,谷歌会将你的域名打包进Chrome的下一个版本。 移除preload的完整时间线 直接说结论:从你提交移除申请,到所有用户浏览器都不再强制HSTS,通常需要2~4个月。 第一步:提交移除申请(1~7...