您可以通过规则配置强制跳转HTTPS功能,将客户端到边缘安全加速ESA节点的请求重定向为更安全的HTTPS请求。您也可以通过开启随机加密和配置HSTS功能,确保浏览器通过加密的TLS链路访问HTTP链接,强制客户端使用HTTPS连接,从而提高安全性。
注意事项
在配置强制HTTPS之前,请确保您的站点已成功配置SSL/TLS证书并开启SSL/TLS功能。详细情况请参见配置边缘证书。
配置强制HTTPS功能后,若您的应用程序中仍存在对非加密HTTP资源的引用,则访问者的浏览器可能会显示“混合内容(Mixed Content)”警告。
操作步骤
登录ESA控制台。
在左侧导航栏,单击站点管理。
在站点管理页面,单击目标站点名称,或对应站点操作列的详情。
在左侧导航栏,选择。
选择HTTPS规则页签,单击新增规则,填写规则名称。
在如果请求匹配以下规则...区域设置传入请求类型。自定义规则请参见规则引擎。
在则执行…区域,选择开启强制HTTS、随机加密。或者配置HSTS。
功能
功能描述
您可以通过配置强制跳转HTTPS功能,将客户端到边缘安全加速 ESA节点的请求强制重定向为更安全的HTTPS请求。
通过开启HSTS(HTTP Strict Transport Security)功能,您可以强制客户端(例如:浏览器)使用HTTPS与边缘安全加速 ESA节点创建连接,提高安全性。
状态参数:Strict-Transport-Security。
响应是否携带Strict-Transport-Security标头。
过期时间参数:max-age。
HSTS Header的过期时间,单位为秒,客户端在此时间段内强制使用HTTPS访问。
子域继承参数:includeSubDomains。
可选参数。如果包含这个参数,说明该域名及其所有子域名均开启HSTS。
预加载参数:preload。
当您申请将域名加入到浏览器内置列表时需要使用preload列表。