参考资料

1. 从零开始配置 CDN
2. 允许If-Modified-Since回源 设置教程
3. 启用HTTPS的 SSL/TLS深度配置指南
4. CDN客户端缓存策略配置指南
5. HTTPS证书配置步骤
6. CDN详细分析讲解，包括添加URL跳转时的参数说明
7. 如何配置Referer黑/白名单？
8. 防CDN 盗刷的常见手段有哪些

什么是HSTS？

HSTS（HTTP Strict Transport Security）是一种安全策略机制，通过HTTP响应头强制客户端（如浏览器）仅通过HTTPS与服务器建立连接。核心要点：

1. 作用

• 防止HTTPS降级攻击（如SSL剥离）

• 阻止浏览器访问HTTP明文链接

2. 响应头格式

   Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

• max-age：生效时长（秒）

• includeSubDomains：保护所有子域名

• preload：申请加入浏览器预加载列表

3. 工作原理

• 首次访问HTTPS后，浏览器记录HSTS策略

• 后续请求自动将HTTP转为HTTPS（307内部跳转）

• 过期前无法通过HTTP访问

4. CDN配置注意事项

• 需确保CDN节点支持HTTPS回源

• 避免在测试环境设置过长max-age

• 启用includeSubDomains时需确认所有子域名已部署HTTPS

5. 预加载列表
   提交域名至浏览器厂商的HSTS预加载列表后，即使首次访问也会强制HTTPS。

风险提示：错误配置可能导致合法用户无法访问，建议先设置较短max-age逐步验证。