使用Nginx的HSTS

HSTS 是什么？

超文本传输安全性（Hypertext Strict Transport Security，简称HSTS）是一种在2012年通过RFC6797规定的强制要求Web浏览器使用传输层安全协议（TLS）的机制。

要在Nginx中设置HSTS，

需要设置HSTS时，应该返回一个名为Strict-Transport-Security的标头。该标头由以下元素组成。

最大年龄

HSTS政策以秒为单位指定存储时间。只要在这段时间内，浏览器将从缓存中引用政策。

包含子域名

这是一个标志，用于确定是否将HSTS策略应用于子域名。

预装

如果你事先将特定的网站添加到https://hstspreload.org的列表中，那么它会具备从首次访问开始进行https重定向的功能。
这个HSTS Preload列表是用于确定是否要参考的标志。
如果FQDN未被列入此列表，则在首次访问时会先使用http进行访问，然后切换到https。
如果进行了注册，那么访问时将从首次访问开始就使用https。

nginx.conf的配置

非常简单且指引明确

server {
  add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload';
}

以这种方式进行指定。