通過開啟HSTS(HTTP Strict Transport Security)功能,您可以強制客戶端(例如:瀏覽器)使用HTTPS與邊緣安全加速 ESA節點創建連接,提高安全性。
HSTS
HSTS(HTTP Strict Transport Security,HTTP 嚴格傳輸安全)是一種網站用來聲明他們只能使用安全連接(HTTPS)訪問的方法。
配置HSTS后,客戶端第一次使用HTTPS與邊緣安全加速 ESA節點連接時,邊緣安全加速 ESA節點通過使用響應頭Strict-Transport-Security來告知客戶端后續一段時間內訪問時只能使用HTTPS訪問,并阻止HTTP請求,HSTS響應頭結構為:Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload],參數說明如下表所示。
參數 | 說明 |
max-age | HSTS Header的過期時間,單位為秒,客戶端在此時間段內強制使用HTTPS訪問。 |
includeSubDomains | 可選參數。如果包含這個參數,說明該域名及其所有子域名均開啟HSTS。 |
preload | 可選參數。當您申請將域名加入到瀏覽器內置列表時需要使用preload列表。 |
注意事項
在開啟HSTS之前,請確保您的站點已成功配置SSL/TLS證書并開啟SSL/TLS功能。詳細情況請參見配置邊緣證書。
HSTS策略僅對域名有效,對IP無效。
配置HSTS后,如果客戶端第一次訪問時使用HTTP,此時由于HSTS策略未同步至客戶端,邊緣安全加速 ESA節點會將該HTTP請求強制重定向到HTTPS,從而避免此安全隱患。
配置HSTS后,客戶端只能使用HTTPS協議訪問邊緣安全加速 ESA節點,請勿同時配置HTTPS強制跳轉HTTP。
由于HSTS策略在客戶端生效,關閉HSTS后無法立即生效,需要執行刷新使HSTS策略在客戶端下一次HTTPS請求時下發給客戶端。
開啟HSTS
登錄ESA控制臺。
在左側導航欄,單擊站點管理。
在站點管理頁面,單擊目標站點名稱,或對應站點操作列的詳情。
在左側導航欄,選擇。
在HSTS區域,點擊配置,打開狀態開關,然后單擊確認。
