功能介绍
HSTS(HTTP Strict Transport Security,HTTP 严格传输安全),是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。网站可通过声明HSTS,来强制客户端(如浏览器)只能使用HTTPS与服务器连接,拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书,降低第一次访问请求被拦截的风险。例如:
当您的域名在CDN加速产品中配置了HTTPS功能和HTTP强制跳转HTTPS的功能时,若用户在浏览器中输入HTTP协议的URL进行访问,CDN节点会将该HTTP请求强制跳转到HTTPS协议,此时:
- 若未启用HSTS功能,且用户是首次以HTTP协议访问CDN节点,HTTP请求可能会被拦截或者篡改,存在安全隐患。
- 若启用了HSTS功能,CDN节点会响应一个强制HSTS的头(例如:Strict-Transport-Security:max-age=xxxx;includeSubDomains)给客户端,告诉客户端只能使用HTTPS协议访问CDN节点,此后浏览器将直接使用HTTPS协议访问CDN节点,不再需要HTTP协议强制跳转HTTPS协议了。
注意事项
配置说明
该功能暂不支持客户自助配置,如需使用,请通过提交工单给天翼云客服,由其人工操作开启。
提交工单时需说明如下:
参数 | 说明 |
---|---|
过期时间 | 即Strict-Transport-Security响应头中max-age的值,单位为s;如过期时间为2592000s,则代表一个月内,访问该网站均需要使用HTTPS协议。 |
是否包含子域名 | 即Strict-Transport-Security响应头中是否需要包括includeSubDomains;如包括,则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。 |