如何验证HSTS是否生效：4种方法让你的网站安全策略真正落地

配置完HSTS之后，很多人会遇到一个困惑：怎么确认它真的生效了？配置写上去很简单，但如果因为缓存、语法错误或者顺序问题导致HSTS没有正常输出，网站反而可能访问异常。本文介绍4种经过实战验证的HSTS生效检测方法，从浏览器到命令行到在线工具，帮助你彻底确认HSTS策略是否真正落地。

一、先理解HSTS头部长什么样

在验证之前，先搞清楚HSTS响应的标准格式。服务器正确配置后，HTTPS响应头中会包含类似这样的内容：

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

这三个参数的含义：

• max-age：浏览器缓存HSTS策略的时长，单位秒。31536000秒等于一年。
• includeSubDomains：HSTS策略同时应用于所有子域名。
• preload：声明该域名申请加入浏览器内置的HSTS Preload List。

如果你的响应头里根本没有这行，那后面的验证都是白搭，先回到Nginx配置文件检查add_header指令是否正确放在HTTPS的server块里。

二、方法一：浏览器开发者工具检查

这是最直观的方式，无需安装任何工具。

操作步骤

1. 用Chrome、Edge或Firefox打开你的网站（必须是HTTPS地址）。
2. 按F12打开开发者工具，切换到Network（网络）标签。
3. 刷新页面，在请求列表中点击任意一个文件（HTML、CSS、JS均可）。
4. 在右侧详情中找到Response Headers区域。
5. 查找是否存在Strict-Transport-Security字段。

如果看到了这个字段，内容类似上面提到的格式，说明HSTS头部已经成功输出。

注意：为什么HTTP响应里看不到？

HSTS的生效范围仅限于HTTPS连接。如果用户通过HTTP访问，Nginx的HSTS配置不会输出，因为HTTP响应根本不会携带TLS层的头部信息。所以务必确认检查的是HTTPS协议的响应。

三、方法二：curl命令检测（最可靠）

命令行工具curl可以精确控制请求参数，是服务器运维人员验证HSTS的首选方式。

检测命令

curl -I -s https://你的域名/ | grep -i strict-transport

如果HSTS生效，你会看到类似输出：

strict-transport-security: max-age=31536000; includeSubDomains; preload

如果没有任何输出，说明HSTS头部没有被正确返回，需要检查Nginx配置。

进阶：同时检查HTTP响应（验证强制跳转）

curl -I -sL http://你的域名/ | grep -E "(strict-transport|location|http/)"

正常的HSTS配合强制跳转场景下，HTTP请求应该收到301/302重定向到HTTPS，而HTTPS响应里才包含Strict-Transport-Security字段。

检测HSTS preload状态

curl -I -s https://hstspreload.org/?domain=你的域名 | grep -i status

如果域名已在Preload List中，会返回相应状态字段。这个查询不需要登录，在任意终端即可执行。

四、方法三：在线HSTS检测工具

不想敲命令？多个在线平台可以一键检测网站的安全响应头配置。

Security Headers（推荐）

访问 securityheaders.com，输入你的域名。这个工具会分析网站的全部安全响应头，并给出A到F的评分。重点关注HSTS字段是否被正确识别，以及max-age值是否符合主流浏览器的最低要求（至少31536000秒，即一年）。

Mozilla Observatory

Mozilla维护的 Observatory（observatory.mozilla.org）是另一个权威检测平台。它不仅检测HSTS，还会综合评估CSP、X-Frame-Options等其他安全头，给出整体安全评分。输入域名后等待片刻即可看到完整报告。

HSTS Preload List查询

如果你的Nginx配置里有preload参数，可以到 hstspreload.org 查询域名是否已加入Chrome的Preload List。不过需要注意的是，Preload List的移除需要较长时间，提交前务必确认所有子域名都已支持HTTPS。

五、方法四：清除浏览器缓存后实测

前面三种方法都依赖工具，但最真实的验证来自实际用户行为。HSTS一旦被浏览器缓存，在缓存过期前浏览器都会强制使用HTTPS。

测试步骤

1. 在Chrome中打开 chrome://net-internals/#hsts。
2. 在"Query HSTS/PKP domain"区域输入你的域名，查看浏览器的HSTS记录。
3. 如果看到结果，说明该域名在浏览器层面已经记录了HSTS策略。
4. 在"Delete domain security policies"区域删除该域名的记录。
5. 用HTTP协议访问你的网站，看是否被强制跳转到HTTPS。

这个方法特别适合验证HSTS配合HTTPS强制跳转的完整链路是否打通。

六、常见HSTS验证失败原因

即便HSTS配置写在Nginx里，也不一定能看到生效。以下是几个高频踩坑点：

• HTTPS证书过期或无效：浏览器拒绝连接HTTPS，HSTS根本无法生效。先确保SSL证书有效。
• 配置位置不对：add_header指令必须放在处理HTTPS请求的server块里，写在HTTP块里不会生效。
• max-age值过小：主流浏览器对HSTS的最低要求是max-age≥31536000（一年）。低于这个值，部分浏览器会忽略该策略。
• 浏览器已有旧缓存：配置更新后浏览器可能还在用旧的HSTS记录，清理缓存后再测试。
• Cloudflare等CDN干扰：如果用了CDN，HSTS策略可能由CDN层控制，需要在CDN后台单独开启和配置。

总结

验证HSTS是否生效不是可有可无的步骤，而是确保网站安全策略真正落地的最后一道关卡。推荐日常维护中至少用curl做定期巡检，有变更时用浏览器开发者工具做快速验证，遇到Preload相关问题再用hstspreload.org查询。安全无小事，配置完不等于配置对，验证才是硬道理。

相关文章：

• Nginx HSTS预加载列表申请教程：从配置到提交的完整实战
• Nginx X-Frame-Options配置教程：防止网站被嵌入iframe的完整实战
• Nginx安全响应头配置详解：8个关键Header让你的网站固若金汤