hsts-凯发k8国际娱乐官网入口

工作原理

如果cdn配置了hsts，客户端首次使用https协议访问cdn节点时，节点将给浏览器响应strict-transport-security头部，如果浏览器支持hsts协议，浏览器将缓存strict-transport-security头部，在缓存过期之前，客户端（如浏览器）将请求自动转为https协议访问cdn节点。

前提条件

如果您想要配置hsts，需要先配置https证书。

注意事项

• 当客户端首次访问采用http协议时，您可以通过使用功能，将客户端请求协议重定向为https。
• 开启hsts配置后，如果关闭https证书，请同时关闭hsts配置。
• 开启hsts且浏览器缓存strict-transport-security头部后，如果您将强制跳转类型配置为http，将会进入无限循环，导致域名无法访问，如下图所示：

  

• 后台有特殊配置的域名暂不支持自助开启hsts，请提交工单处理。

配置步骤

1. 登录，在控制台凯发k8国际娱乐k8凯发官网入口首页中选择“ cdn与智能边缘 > 内容分发网络 cdn”，进入cdn控制台。
2. 在左侧菜单栏中，选择“域名管理”。
3. 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。
4. 选择“https配置”页签。
5. 在hsts模块，单击“编辑”进入配置界面。
6. 打开“状态”开关，配置参数。
   图1 hsts
   

   表1 参数说明

   参数	说明
   过期时间	设置响应头“strict-transport-security”在客户端的缓存时间。 支持数字0~63072000，单位为秒。 “过期时间”配置太短会导致客户端缓存频繁过期，影响hsts功能正常使用；如果“过期时间”配置太长，在缓存有效期内如果域名取消了https证书，会造成域名无法访问，从而影响业务正常运行。您可以根据业务情况合理配置“过期时间”，建议配置5184000秒，即60天。
   包含子域名	子域名是否开启hsts。 不包含：子域名不开启hsts。 包含：子域名也开启hsts，请确认是否所有子域名都已经配置https证书，否则选择“包含”会导致子域名无法访问。

7. 单击“确定”完成配置。

配置示例

加速域名www.example.com的hsts配置如下：

配置效果：

1. 客户端首次使用https协议访问加速域名，cdn节点将请求内容返回给客户端，同时响应“strict-transport-security”头部。
2. 如果客户端不支持hsts功能，再次请求到cdn节点的协议遵从客户端发起请求的协议。
3. 如果客户端支持hsts功能，客户端将缓存“strict-transport-security”头部。再次访问加速域名时，浏览器会自动将http请求强制转换为https请求到cdn。
4. 浏览器缓存时间超过设置的“过期时间”后，将再次按照1执行。