HSTS preload 的 max-age 要求到底是什么?
HSTS(HTTP Strict Transport Security)preload 是浏览器内置的一个机制,让支持 HTTPS 的网站在用户第一次访问时就能强制走 HTTPS,而不需要先经历一次 HTTP 到 HTTPS 的跳转。
在提交到 hstspreload.org 时,官方对 Strict-Transport-Security 响应头有一个硬性要求:
max-age 必须 ≥ 31536000(1年)...
网站安全
-
2026.05.30 | youres | 5次围观
-
2026.05.27 | youres | 11次围观
引言:为什么不能直接上31536000? HSTS(HTTP Strict Transport Security)的 max-age 参数决定了浏览器记住"只走HTTPS"指令的时间长度。很多教程一上来就让你设 max-age=31536000(一年),但这其实是个坑。 如果你配错了、或者证书部署有问题,用户一年内都无法访问你的HTTP版本——哪怕你后来修好了。所以正确的做法是两个阶段:先用小值测试,确认无误后再切换到正式值。 HSTS max-age 基础回顾 HSTS响... -
2026.05.26 | youres | 16次围观
为什么需要PowerShell替代curl检查安全响应头 在Linux/macOS环境下,我们习惯用curl命令快速检查网站的HTTP响应头,特别是安全响应头(Security Headers)。但在Windows环境下,或者当你需要编写跨平台脚本时,PowerShell提供了一个强大的替代方案。本文将详细介绍如何使用PowerShell替代curl检查安全响应头,并给出可直接使用的脚本。 虽然Windows 10/11已经内置了curl(实际上是Invoke-WebReq...
-
2026.05.26 | youres | 7次围观
鍓嶈█鍦ㄧ綉绔欏紑鍙戝拰杩愮淮杩囩▼涓紝HSTS锛圚TTP Strict Transport Security锛夋槸涓€涓潪甯告湁鏁堢殑瀹夊叏绛栫暐锛屽畠鑳藉己鍒舵祻瑙堝櫒浣跨敤HTTPS杩炴帴缃戠珯銆備絾鏈夋椂鍊欙紝鎴戜滑姝e湪娴嬭瘯鐜鎴栬€呴渶瑕佷复鏃惰闂瓾TTP鐗堟湰鏃讹紝HSTS缂撳瓨浼氭垚涓烘嫤璺檸銆備粖澶╁氨褰诲簳璁叉竻妤欳hrome娴忚鍣ㄤ腑濡備綍娓呴櫎HSTS缂撳瓨锛岀壒鍒槸閫氳繃chrome://net-internals椤甸潰鐨勬柟娉曘€?... -
2026.05.25 | youres | 19次围观
目录 为什么需要查看HTTPS证书信息 方法一:openssl直接查看证书详情(最全面) 方法二:curl -v 查看握手过程中的证书信息 方法三:curl查看证书有效期一键脚本 实战:批量检测多个域名证书到期时间 常见问题排查 为什么需要查看HTTPS证书信息 运维过程中,查看HTTPS证书信息是高频操作。常见场景包括:证书快到期了需要续期、排查HTTPS访问异常、确认证书是否覆盖了正确域名(SAN字段)、验证证书链是否完整。 很多人习惯点浏览器地址栏的小锁图标查看,... -
2026.05.25 | youres | 14次围观
前言:为什么你需要用curl查看SSL证书详情 运维工作中,经常需要快速确认一个网站用了什么证书、证书由谁颁发、什么时候过期、证书链是否完整。这些信息浏览器能看,但用命令行来查效率更高——可以写进脚本、集成到自动化巡检流程里,也方便在服务器上直接操作不依赖图形界面。 curl是Linux/Unix系统标配的命令行工具,Windows 10及以上也内置了PowerShell版本的curl。本文详细介绍如何用curl及相关命令查看SSL证书的完整信息,涵盖证书链解析、域名匹配验证... -
2026.05.25 | youres | 14次围观
前言:为什么Windows用户需要PowerShell替代curl 检查网站安全响应头是运维和开发人员的日常工作。大多数教程都在教用 curl -I 来查看HTTP响应头,但如果你在Windows环境下工作,可能并没有安装curl。好消息是,PowerShell自带的 Invoke-WebRequest 和 Invoke-RestMethod 完全可以胜任这项任务,而且还能写出更强大的自动化检测流程。 本文将手把手教你用PowerShell原生命令替代curl,检查网站的安全...
-
2026.05.25 | youres | 19次围观
Strict-Transport-Security为什么不生效? 配置了HSTS响应头,浏览器却还是走HTTP访问?这是很多运维和开发人员踩过的坑。Strict-Transport-Security(简称HSTS)的生效条件比想象中更严格,一个细节没注意到就可能白配置。本文把最常见的6个不生效原因整理出来,帮你快速定位问题。 一、HSTS响应头只在HTTPS响应中生效 这是最容易被忽略的一点:浏览器只会在HTTPS响应中接受Strict-Transport-Security... -
2026.05.25 | youres | 17次围观
什么是HSTS缓存 HSTS(HTTP Strict Transport Security,HTTP严格传输安全)是一种Web安全策略机制,通过服务器返回的Strict-Transport-Security响应头,告诉浏览器只能使用HTTPS连接该网站,而不得使用HTTP协议进行通信。 当浏览器接收到HSTS响应头后,会将域名及其HSTS策略缓存到本地。在缓存有效期内(由max-age指令指定),浏览器会强制使用HTTPS访问该域名,即使用户手动输入HTTP地址或点击HTTP...
-
2026.05.25 | youres | 19次围观
为什么要主动检测HTTPS证书有效期? HTTPS证书过期是导致网站无法访问的常见原因之一,浏览器会直接拦截并提示「您的连接不是私密连接」,不仅影响用户体验,还会被搜索引擎判定为不安全站点,直接影响SEO排名。对于运维人员来说,尤其是管理多个域名的场景,掌握快速检测证书有效期的方法,能提前排查风险,避免证书过期导致的线上故障。 方法1:基础版curl命令(Linux/macOS原生curl) 对于Linux、macOS等原生带curl的系统,最简单的方法是用-v参数查看详细...