通过配置HSTS实现HTTPS安全访问 - 边缘安全加速

通过开启HSTS（HTTP Strict Transport Security）功能，您可以强制客户端（例如：浏览器）使用HTTPS与边缘安全加速 ESA节点创建连接，提高安全性。

HSTS

HSTS（HTTP Strict Transport Security，HTTP 严格传输安全）是一种网站用来声明它们只能使用安全连接（HTTPS）访问的方法。

配置HSTS后，客户端第一次使用HTTPS与边缘安全加速 ESA节点连接时，边缘安全加速 ESA节点通过使用响应头Strict-Transport-Security来告知客户端后续一段时间内访问时只能使用HTTPS访问，并阻止HTTP请求，HSTS响应头结构为：Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload]，参数说明如下表所示。

参数	说明
max-age	HSTS Header的过期时间，单位为秒，客户端在此时间段内强制使用HTTPS访问。
includeSubDomains	可选参数。如果包含这个参数，说明该域名及其所有子域名均开启HSTS。
preload	可选参数。当您申请将域名加入到浏览器内置列表时需要使用preload列表。

注意事项

在开启HSTS之前，请确保您的站点已成功配置SSL/TLS证书并配置边缘证书。详细情况请参见配置边缘证书。
HSTS策略仅对域名有效，对IP无效。
配置HSTS后，如果客户端第一次访问时使用HTTP，此时由于HSTS策略未同步至客户端，边缘安全加速 ESA节点会将该HTTP请求强制重定向到HTTPS，从而避免此安全隐患。
配置HSTS后，客户端只能使用HTTPS协议访问边缘安全加速 ESA节点，请勿同时配置HTTPS强制跳转HTTP。
由于HSTS策略在客户端生效，关闭HSTS后无法立即生效，需要执行刷新使HSTS策略在客户端下一次HTTPS请求时下发给客户端。

开启HSTS

在ESA控制台选择站点管理，在站点列单击目标站点。
在左侧导航栏，选择 边缘证书。
在HSTS区域，点击配置，打开状态开关，然后单击确定。

站点全局功能与规则功能的对应关系

站点全局功能添加的配置会对站点下的所有请求生效。若您只想对特定请求开启此功能，可通过规则功能添加的配置：使用规则条件来识别用户请求中携带的特定参数信息，以此来更精确地控制规则配置仅对指定请求生效。站点全局配置HSTS对应的规则功能是HSTS。