通過配置HSTS實現HTTPS安全訪問 - Edge Security Acceleration

通過開啟HSTS（HTTP Strict Transport Security）功能，您可以強制用戶端（例如：瀏覽器）使用HTTPS與邊緣安全加速 ESA節點建立串連，提高安全性。

HSTS

HSTS（HTTP Strict Transport Security，HTTP 嚴格傳輸安全）是一種網站用來聲明它們只能使用安全連線（HTTPS）訪問的方法。

配置HSTS後，用戶端第一次使用HTTPS與邊緣安全加速 ESA節點串連時，邊緣安全加速 ESA節點通過使用回應標頭Strict-Transport-Security來告知用戶端後續一段時間內訪問時只能使用HTTPS訪問，並阻止HTTP請求，HSTS回應標頭結構為：Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload]，參數說明如下表所示。

參數	說明
max-age	HSTS Header的到期時間，單位為秒，用戶端在此時間段內強制使用HTTPS訪問。
includeSubDomains	選擇性參數。如果包含這個參數，說明該網域名稱及其所有子網域名稱均開啟HSTS。
preload	選擇性參數。當您申請將網域名稱加入到瀏覽器內建列表時需要使用preload列表。

注意事項

在開啟HSTS之前，請確保您的網站已成功配置SSL/TLS認證並配置邊緣認證。詳細情況請參見配置邊緣認證。
HSTS策略僅對網域名稱有效，對IP無效。
配置HSTS後，如果用戶端第一次訪問時使用HTTP，此時由於HSTS策略未同步至用戶端，邊緣安全加速 ESA節點會將該HTTP請求強制重新導向到HTTPS，從而避免此安全隱患。
配置HSTS後，用戶端只能使用HTTPS協議訪問邊緣安全加速 ESA節點，請勿同時配置HTTPS強制跳轉HTTP。
由於HSTS策略在用戶端生效，關閉HSTS後無法立即生效，需要執行重新整理使HSTS策略在用戶端下一次HTTPS請求時下發給用戶端。

開啟HSTS

在ESA控制台選擇網站管理，在網站列單擊目標網站。
在左側導覽列，選擇 邊緣認證。
在HSTS地區，點擊配置，開啟狀態開關，然後單擊確定。

網站全域功能與規則功能的對應關係

網站全域功能添加的配置會對網站下的所有請求生效。若您只想對特定請求開啟此功能，可通過規則功能添加的配置：使用規則條件來識別使用者請求中攜帶的特定參數資訊，以此來更精確地控制規則配置僅對指定請求生效。網站全域配置HSTS對應的規則功能是HSTS。