## 背景

我一直使用以下配置将 http 强制跳转到 https,但今天想着开启一下 HSTS,避免初始的 http 请求被劫持。

## 什么是 HSTS

HTTP Strict Transport Security(HSTS)是一个安全功能,告诉浏览器只能通过 HTTPS 访问当前资源。

## 配置方法

```nginx
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
```

参数说明:
- `max-age=63072000`:有效期 2 年
- `includeSubDomains`:对子域名生效

## 验证

```bash
curl -I https://blog.fishliu.com
```

如果看到 `Strict-Transport-Security` 头就说明配置成功。

Last modification:June 19, 2026
© Allow specification reprint
如果觉得我的文章对你有用,请随意赞赏