更新时间:2023-11-23 gmt 08:00
hsts-凯发k8国际娱乐官网入口
hsts(http strict transport security)即严格传输安全,是国际互联网工程组织 ietf 推行的 web 安全协议。配置hsts后,将强制客户端(如浏览器)使用 https 协议访问服务器,提升访问安全性。
工作原理
如果cdn配置了hsts,客户端首次使用https协议访问cdn节点时,节点将给浏览器响应strict-transport-security头部,如果浏览器支持hsts协议,浏览器将缓存strict-transport-security头部,在缓存过期之前,客户端(如浏览器)将请求自动转为https协议访问cdn节点。
前提条件
如果您想要配置hsts,需要先配置https证书。
注意事项
- 当客户端首次访问采用http协议时,您可以通过使用功能,将客户端请求协议重定向为https。
- 开启hsts配置后,如果关闭https证书,请同时关闭hsts配置。
- 开启hsts且浏览器缓存strict-transport-security头部后,如果您将强制跳转类型配置为http,将会进入无限循环,导致域名无法访问,如下图所示:
- 后台有特殊配置的域名暂不支持自助开启hsts,请提交工单处理。
配置步骤
- 登录,在控制台凯发k8国际娱乐k8凯发官网入口首页中选择“ cdn与智能边缘 > 内容分发网络 cdn”,进入cdn控制台。
- 在左侧菜单栏中,选择 。
- 在域名列表中,单击需要修改的域名或域名所在行的“设置”,进入域名配置页面。
- 选择“https配置”页签。
- 在hsts模块,单击“编辑”进入配置界面。
- 打开“状态”开关,配置参数。
图1 hsts
表1 参数说明 参数
说明
过期时间
设置响应头“strict-transport-security”在客户端的缓存时间。
- 支持数字0~63072000,单位为秒。
- “过期时间”配置太短会导致客户端缓存频繁过期,影响hsts功能正常使用;如果“过期时间”配置太长,在缓存有效期内如果域名取消了https证书,会造成域名无法访问,从而影响业务正常运行。您可以根据业务情况合理配置“过期时间”,建议配置5184000秒,即60天。
包含子域名
子域名是否开启hsts。
- 不包含:子域名不开启hsts。
- 包含:子域名也开启hsts,请确认是否所有子域名都已经配置https证书,否则选择“包含”会导致子域名无法访问。
- 单击“确定”完成配置。
配置示例
加速域名www.example.com的hsts配置如下:
配置效果:
- 客户端首次使用https协议访问加速域名,cdn节点将请求内容返回给客户端,同时响应“strict-transport-security”头部。
- 如果客户端不支持hsts功能,再次请求到cdn节点的协议遵从客户端发起请求的协议。
- 如果客户端支持hsts功能,客户端将缓存“strict-transport-security”头部。再次访问加速域名时,浏览器会自动将http请求强制转换为https请求到cdn。
- 浏览器缓存时间超过设置的“过期时间”后,将再次按照1执行。
父主题:
意见反馈
文档内容是否对您有帮助?
提交成功!非常感谢您的反馈,我们会继续努力做到更好!
您可在查看反馈及问题处理状态。
系统繁忙,请稍后重试
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨