通過開啟HSTS(HTTP Strict Transport Security)功能,您可以強制用戶端(例如:瀏覽器)使用HTTPS與CDN節點建立串連,提高安全性。
前提條件
執行該操作前,請您確保已成功配置HTTPS認證,操作方法請參見配置HTTPS認證。
背景資訊
HSTS(HTTP Strict Transport Security,HTTP 嚴格傳輸安全),是一種網站用來聲明他們只能使用安全連線(HTTPS)訪問的方法。
配置HSTS後,用戶端第一次使用HTTPS與CDN節點串連時,CDN節點通過使用回應標頭來告知用戶端後續一段時間內訪問時只能使用HTTPS訪問,並阻止HTTP請求,HSTS回應標頭結構為:Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload],參數說明如下表所示。
參數 | 說明 |
max-age | HSTS Header的到期時間,單位為秒,用戶端在此時間段內強制使用HTTPS訪問。 |
includeSubDomains | 選擇性參數。如果包含這個參數,說明該網域名稱及其所有子網域名稱均開啟HSTS。 |
preload | 選擇性參數。當您申請將網域名稱加入到瀏覽器內建列表時需要使用preload列表。 |
用戶端會記錄網域名稱在max-age到期前強制執行HSTS策略,用戶端發起HTTP請求時將被強制轉換為HTTPS請求,HTTP請求將被阻止。
配置HSTS後,如果用戶端第一次訪問時使用HTTP,此時由於HSTS策略未同步至用戶端,CDN節點會將該HTTP請求301重新導向到HTTPS,從而避免此安全隱患。
約束限制
配置HSTS後,用戶端只能使用HTTPS協議訪問CDN節點,請勿同時配置HTTPS強制跳轉HTTP。
HSTS策略僅對網域名稱有效,對IP無效。
由於HSTS策略在用戶端生效,關閉HSTS後無法立即生效,需要執行重新整理使HSTS策略在用戶端下一次HTTPS請求時下發給用戶端。
操作步驟
登入CDN控制台。
在左側導覽列,單擊域名管理。
在域名管理頁面,找到目標網域名稱,單擊操作列的管理。
在指定網域名稱的左側導覽列,單擊HTTPS配置。
在HSTS地區,單擊修改配置。
在HSTS设置對話方塊,開啟HSTS开关,同時配置过期时间和包含子域名。
过期时间:HSTS回應標頭在瀏覽器的緩衝時間,建議填入60天。配置為0時,HSTS關閉。
包含子域名:請謹慎開啟,開啟前,請確保該加速網域名稱的所有子網域名稱都已開啟HTTPS,否則會導致子網域名稱自動跳轉到HTTPS後無法訪問。
單擊確定。