共计 1071 个字符,预计需要花费 3 分钟才能阅读完成。
HSTS 介绍
这里引用一下百度的资料吧:
国际互联网工程组织 IETF 正在推行一种新的 Web 安全协议 HTTP Strict Transport Security(HSTS)该协议将帮助网站采用全局加密,用户看到的就是该网站的安全版本。HSTS 的作用是强制客户端(如浏览器)使用 HTTPS 与服务器创建连接。服务器开启 HSTS 的方法是,当客户端通过 HTTPS 发出请求时,在服务器返回的超文本传输协议响应头中包含 Strict-Transport-Security 字段。非加密传输时设置的 HSTS 字段无效。比如,https://xxx 的响应头含有 Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点:在接下来的一年(即 31536000 秒)中,浏览器只要向 xxx 或其子域名发送 HTTP 请求时,必须采用 HTTPS 来发起连接。比如,用户点击超链接或在地址栏输入 http://xxx/,浏览器应当自动将 http 转写成 https,然后直接向 https://xxx/ 发送请求。在接下来的一年中,如果 xxx 服务器发送的 TLS 证书无效,用户不能忽略浏览器警告继续访问网站
开启 HSTS
接下来说说,amh 面板如何开启 HSTS,其实面板软件“amssl”里就可以强制开启 https 访问(即 HSTS),但是这时测试网页状态码为 302。
关闭“amssl”的强制开启 https 访问,其他不动。打开当前网站的配置文件/home/wwwroot/ 你设置的主机名 /vhost/ 你设置的主机名 -https.conf
在 </VirtualHost> 前添加下面代码:
Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"
上传覆盖,重载 apache 即可。此时在检测网页状态码就变成了 301,需要的朋友赶紧试试吧。
顺便说下 amh 面板,http 跳转到 https,apcache 规则:
RewriteEngine On
RewriteCond %{HTTP_HOST} !^ 你的域名 $ [NC]
RewriteRule ^(.*)$ https:// 你的域名 /$1 [L,R=301]
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https:// 你的域名 /$1 [L,R=301]
正文完
