分阶段配置

前言：为什么 max-age 不能一上来就设两年 HSTS（HTTP Strict Transport Security）的 max-age 参数决定浏览器记住"强制 HTTPS"指令的时间。设短了，安全效果打折扣；设长了，一旦证书或 HTTPS 配置出问题，用户在有效期内无法访问你的网站。 很多教程上来就让你直接设 max-age=63072000（两年），这是 HSTS preload 的提交要求，不是你第一天就该用的值。 正确的做法：分阶段切换，从短到长，每一步都验证无...