通過開啟HSTS(HTTP Strict Transport Security)功能,您可以強制用戶端(例如:瀏覽器)使用HTTPS與伺服器建立串連,降低第一次訪問請求被攔截的風險。

前提条件

執行該操作前,請您確保已成功配置HTTPS認證,操作方法請參見 配置HTTPS認證

背景信息

當您全站使用HTTPS請求時,在瀏覽器輸入或直接單擊HTTP連結,伺服器會將該HTTP請求301或302重新導向到HTTPS。該操作過程中請求可能被攔截,導致重新導向後的請求未發送到伺服器,該問題可以通過HSTS來解決。

瀏覽器處理網域名稱的HTTP訪問時,若該網域名稱的HSTS沒有到期,則在瀏覽器內部做一次307重新導向到HTTPS,從而避免瀏覽器和伺服器之間301或302重新導向請求被攔截的風險。

HSTS回應標頭結構為: Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload] ,參數說明如下表所示。
參數 說明
max-age HSTS Header的到期時間,單位為秒。
includeSubDomains 選擇性參數。如果包含這個參數,說明該網域名稱及其所有子網域名稱均開啟HSTS。
preload 選擇性參數。當您申請將網域名稱加入到瀏覽器內建列表時需要使用preload列表。
说明
  • HSTS生效前,第一次需要將301或302重新導向到HTTPS。
  • HSTS回應標頭在HTTPS訪問的響應中有效,在HTTP訪問的響應中無效。
  • 僅對443連接埠有效,對其他連接埠無效。
  • 僅對網域名稱有效,對IP無效。

操作步骤

  1. 登入 CDN控制台
  2. 在左側導覽列,單擊 域名管理
  3. 域名管理頁面,單擊目標網域名稱對應的 管理
  4. 在指定網域名稱的左側導覽列,單擊 HTTPS配置
  5. HSTS 地區,單擊 修改配置
  6. HSTS设置對話方塊,開啟 HSTS开关
  7. 配置 过期时间,開啟 包含子域名開關。
    说明
    • 过期时间表示HSTS回應標頭在瀏覽器的緩衝時間,建議填入60天,可填時間範圍為0~730天。
    • 開啟 包含子域名開關前,請確保該加速所有子網域名稱都已開啟HTTPS,否則會導致子網域名稱自動跳轉到HTTPS後無法訪問。
  8. 單擊 确定