NGINX: 配置 HSTS

最新推荐文章于 2025-06-02 15:17:21 发布
转载 最新推荐文章于 2025-06-02 15:17:21 发布 · 346 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/tiantiandas/p/nginx_hsts.html
文章标签:

#运维

本文深入解析HTTP Strict Transport Security (HSTS)协议,介绍其Header格式及Nginx配置示例,强调安全传输策略,包括max-age、includeSubDomains及preload参数的使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考: [ 浅析 HSTS - 博客园 ] [ HTTP HSTS协议和 nginx - 运维生存时间] [ HSTS ]


Header: Strict-Transport-Security

Strict-Transport-Security 格式

Strict-Transport-Security: <max-age=NUMBER>[; includeSubDomains][; preload]


  • max-age:单位:秒。 HSTS header 过期时间,一般设置为1年,即31536000秒。而每次Response Header都带上HSTS Header,则可不断刷新其过期时间。

  • includeSubDomains:需要开启HSTS的域名/子域名。

  • preload:当加入了浏览器内置Preload List时才需要设置该项。


Nginx 配置示例

server {
    listen 80;
    server_name xx.xx;
    return 301 https://$host;
}

server{
    listen       443 ssl;
    server_name  xx.xx.xx;

    ssl_certificate cert/xx.pem;
    ssl_certificate_key cert/xx.key;
    ....
    
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

    location  /{

    }
    ....
}


转载于:https://www.cnblogs.com/tiantiandas/p/nginx_hsts.html

如何在 Nginx 中启用 HSTS
网络技术联盟站
07-05 1407
HTTP Strict Transport Security(HSTS)是一种安全机制,可以帮助保护网站免受SSL/TLS剥离攻击和会话劫持等威胁。它强制客户端使用HTTPS与服务器建立安全连接,从而提高网站的安全性和数据保护级别。本文将为您提供在Nginx中启用HSTS的详细步骤和指导。
Nginx:SSL/TLS 配置
二次源的博客
01-04 1393
Nginx是一个高性能的HTTP和反向代理web服务器,是运维中十分常用的中间件,本篇文章将介绍Nginx的SSL/TLS 配置
如何配置使用 HTTP 严格传输安全(HSTS
热门推荐
刘书的IT博客
10-25 1万+
HTTP 严格传输安全(HSTS)是一种安全功能,web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯,而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过: Nginx 1.1.19、 Lighttpd 1.4.28 和 Apache 2.2.22 ,环境为 Ubuntu 12.04、 Debi
如何使用Nginx配置HSTS(HTTP严格传输安全)?
长风破浪会有时的博客
04-02 3782
首先,我们要明白HSTS是什么。HSTS是一种安全策略,它告诉浏览器:“只能用HTTPS来访问我的网站,不要用HTTP哦!”这样,即使有人尝试用不安全的方式(HTTP)来访问网站,浏览器也会自动切换到安全的方式(HTTPS)。通过这个配置,我们可以确保用户总是通过安全的方式(HTTPS)来访问我们的网站,从而提高网站的安全性。现在,我们来看看如何使用Nginx配置HSTS。这个配置做了什么呢?
webfuture:提示“Strict-Transport-Security头未设置”漏洞的解决方法
最新发布
bbsh2099的博客
06-02 456
Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效。当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 头时,浏览器将持续使用 HTTPS 来访问 Web 站点,可以用来对抗协议降级攻击和 Cookie 劫持攻击。修改we.config,给 HTTP 响应头加上 Strict-Transport-Security。
HTTP HSTS协议和 nginx
05-16 669
Netcraft 公司最近公布了他们检测SSL/TLS网站的研究,并指出只有仅仅5%的用户正确执行了HTTP严格传输安全HSTS。本文介绍nginx如何配置HSTS
Nginx配置HSTS
weixin_43117893的博客
06-27 3945
HSTS的全称是HTTP Strict-Transport-Security,它是一个Web安全策略机制(web security policy mechanism)。 HSTS最早于2015年被纳入到ThoughtWorks技术雷达,并且在2016年的最新一期技术雷达里,它直接从“评估(Trial)”阶段进入到了“采用(Adopt)“阶段,这意味着ThoughtWorks强烈主张业界积极采用这项安全防御措施,并且ThoughtWorks已经将其应用于自己的项目。 HSTS最为核心的是一个HTTP响应头(H
Nginx配置 HSTS、CSP 等安全策略
qianghong000的博客
06-15 1083
web 安全
如何使用Nginx配置HSTS(HTTP严格传输安全)?_nginx hsts
baimao__Ch的博客
08-20 1082
HSTS是一种安全策略,它告诉浏览器:“只能用HTTPS来访问我的网站,不要用HTTP哦!”这样,即使有人尝试用不安全的方式(HTTP)来访问网站,浏览器也会自动切换到安全的方式(HTTPS)。这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦,无偿分享!通过这个配置,我们可以确保用户总是通过安全的方式(HTTPS)来访问我们的网站,从而提高网站的安全性。现在,我们来看看如何使用Nginx配置HSTS。⑤安全红队渗透工具包。
website-nginx:我用于Nginx配置文件
04-07
在此存储库中,您可以找到我的Nginx配置文件。 我的目标是为Nginx提供最安全和最新的配置。 请不要犹豫,与我联系以获取任何建议。 这些是我发现对获得良好配置非常有用的一些资源: :我用来生成网站的第一个...
Nginx:服务器端SSL配置
04-21
在某些情况下,你可能需要将中间证书安装在Nginx配置中,以帮助浏览器验证证书链的完整性。例如,如果你的证书由中间CA签发,你可能需要将中间证书内容合并到你的.crt文件中,或者单独提供给Nginx: ```nginx ssl_...
深入了解Nginx配置和性能优化
介绍Nginx ## 1.1 Nginx概述 Nginx是一款高性能的开源Web服务器软件,由Igor Sysoev创建,并于2004年首次发布。Nginx以其出色的性能、稳定性和强大的功能特性而闻名,广泛用于大型网站和流量负载较高的网络环境中...
血泪!给Nginx配置https
Minute_Man的博客
12-22 1万+
个坑,埋点土,数个一二三四五。种十块,翻一倍,其实这事挺惭愧。 其实总体来说这并不难,但就是像穿针引线,差一点点那就会前功尽弃。   多的不说了,想必都查过其他的资料。什么依赖关系啊,OpenSSL必装神马的就不赘述了。    就直接说两点吧,生成证书和nginx.conf的配置。 这里感谢廖雪峰老师(叩谢)   廖老师写了一个脚本来一次性生成证书。 其实脚本不长,流程也就是标
Nginx 开启 HSTS 让浏览器强制跳转HTTPS访问
树欲静而风不止
04-20 4796
nginx重定向到https server { listen xxx.abc.com; server_name xxx.abc.com; rewrite ^/(.*)$ https://$host$1 permanent; } nginx完整的配置代码如下: server { listen xxx.abc.com; server_name xxx.abc.com; ...
nginx 响应头中添加HSTS
一路奔跑94的博客
05-12 2099
从 HTTP 到 HTTPS 再到 HSTS 近些年,随着域名劫持、信息泄漏等网络安全事件的频繁发生,网站安全也变得越来越重要,也促成了网络传输协议从 HTTP 到 HTTPS 再到 HSTS 的转变。 HTTP HTTP(超文本传输协议) 是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP 是互联网数据通信的基础。它是由万维网协会(W3C)和互联网工程任务组(IETF)进行协调制定了 HTTP 的标准,最终发布了一系列的 RFC,并且在1999年6月公布的 RFC 2616,定义了 HT
HSTS详解
喵叫兽的博客
09-27 6871
1. 缘起:启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是输入完整的URL(例如https://www.example.com),不过浏览器依然能正确的使用HTTPS发起请求。这背后多亏了服务器和浏览器的协作,如下图所示。 图1:服务器和浏览器在背后帮用户做了很多工...
Nginx HttpHeader增加几个关键的安全选项
weixin_55010563的博客
12-07 516
针对像德勤这样的专业渗透测试(Pentest)的场景中,为了确保网站的安全性并通过严格的安全审查,需要为这些安全头配置更细致、专业的参数。frame-ancestors 'none':防止网站被嵌入到 iframe 中,防止点击劫持攻击。img-src 'self' data::仅允许加载本域的图片和 Base64 内嵌的图片。form-action 'self':只允许表单提交到本站,防止 CSRF 攻击。script-src 'self':仅允许加载本域的脚本。
SSL/TLS深度解析--在 Nginx配置 HSTS、CSP 与其他
weixin_34151004的博客
12-10 2304
Nginx配置 HSTS HTTP响应中包含 Strict-Transport-Security 头实现网站HSTS,像下面这样配置: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload,就实现了HSTS,即—— HTTP Strict Transport Security,HTTP严格传输安全。...
nginx配置HSTS策略
07-27
HTTP Strict Transport Security (HSTS) 是一种安全协议,它告诉浏览器始终通过HTTPS连接访问特定域名,防止中间人攻击。要在 Nginx 配置中启用 HSTS 策略,你需要在服务器块中添加以下几行: ```nginx server { listen 80; # 如果你的网站还监听80端口,需要先重定向到443 server_name example.com; return 301 https://$host$request_uri; # 首次请求时永久重定向到HTTPS # 添加以下两行配置启用HSTS策略 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; # max-age表示有效期,这里是1年,并指定子域也应用此策略(includeSubDomains),preload用于让Chrome等浏览器加入公共预加载列表 ssl_certificate /path/to/your.crt; # SSL证书路径 ssl_certificate_key /path/to/your.key; # 私钥路径 } ``` 然后,你可以把上面的配置放入你的 Nginx配置文件(如`/etc/nginx/nginx.conf`),或者将它们放在一个单独的 `.conf` 文件中,并通过 `include` 指令包含进来。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值