Strict-Transport-Security不生效原因排查：6个常见问题逐一击破

Strict-Transport-Security为什么不生效？

配置了HSTS响应头，浏览器却还是走HTTP访问？这是很多运维和开发人员踩过的坑。Strict-Transport-Security（简称HSTS）的生效条件比想象中更严格，一个细节没注意到就可能白配置。本文把最常见的6个不生效原因整理出来，帮你快速定位问题。

一、HSTS响应头只在HTTPS响应中生效

这是最容易被忽略的一点：浏览器只会在HTTPS响应中接受Strict-Transport-Security头。如果你的站点通过HTTP返回了这个头，浏览器会直接忽略它。

这个设计是出于安全考虑——如果HTTP响应中的HSTS也能生效，中间人攻击者就可以伪造HSTS头把用户锁定到恶意站点。所以浏览器只在确认连接安全（即HTTPS且证书有效）时才会采纳HSTS策略。

验证方法

用curl检查你的HTTPS响应头：

curl -sI https://你的域名 | grep -i strict

如果HTTPS响应中能看到Strict-Transport-Security，而HTTP响应中看不到或被忽略，那是正常行为。

二、证书有问题导致HSTS被忽略

即使你通过HTTPS访问，如果证书存在以下问题，浏览器同样不会采纳HSTS：

• 证书已过期或尚未生效
• 证书域名与访问域名不匹配
• 使用自签名证书且未手动信任
• 证书链不完整，缺少中间证书

浏览器认为证书有问题=连接不安全=HSTS不可信。所以在配置HSTS之前，先确保证书完全正常。

快速排查

用浏览器打开你的站点，地址栏有没有安全锁图标？如果有证书警告，先解决证书问题再谈HSTS。

三、max-age值设置过小或为0

HSTS的max-age单位是秒，表示浏览器记住该策略的时长。常见问题：

• max-age设为0：相当于立即删除HSTS策略
• max-age设得很小（如60）：策略1分钟后就过期了，测试时感觉不到效果
• 测试时用小值，上线忘了改大值

建议测试阶段先用max-age=300（5分钟），确认生效后再改为max-age=31536000（一年）或更大值。如果要申请预加载列表，max-age至少需要63072000（两年）。

四、Nginx add_header继承规则导致HSTS丢失

这是Nginx配置中最常见的坑：当location块中使用了add_header，server块中的add_header不会继承到该location。也就是说，如果你在server层配了HSTS，但location中又配了其他header，HSTS就在那个location中丢失了。

错误示例

server {
    add_header Strict-Transport-Security "max-age=31536000" always;
    
    location /api/ {
        add_header X-Custom-Header "value";  # HSTS在这里丢失！
    }
}

正确做法

在每个使用add_header的location中重复添加HSTS：

location /api/ {
    add_header Strict-Transport-Security "max-age=31536000" always;
    add_header X-Custom-Header "value";
}

或者使用more_set_headers指令（需要headers-more-nginx-module模块），它不受继承规则限制。

五、浏览器HSTS缓存未刷新

HSTS策略依赖浏览器本地缓存。当你修改了服务端配置，浏览器可能还在用旧的缓存策略。这种情况在测试环境尤其明显——你把HSTS删了，浏览器还是强制走HTTPS。

各浏览器清除HSTS缓存方法

• Chrome：地址栏输入chrome://net-internals/#hsts，在Delete域中输入域名点Delete
• Firefox：关闭浏览器，删除SiteSecurityServiceState.txt文件（位于Profile目录）
• Edge：同Chrome方法（Chromium内核）
• Safari：清除浏览器缓存后重启Safari

测试HSTS时，建议先用无痕/隐私模式验证，因为无痕模式不读取HSTS缓存。

六、302重定向代替了301重定向

虽然这不直接影响HSTS响应头是否生效，但会影响HTTPS强制跳转的效果。HTTP到HTTPS的跳转应该用301永久重定向，而不是302临时重定向。302不会传递权重，搜索引擎也不会把HTTP版本替换为HTTPS版本。

HSTS和301重定向是两个互补的机制：301处理首次访问的跳转，HSTS确保后续访问直接走HTTPS，省去一次重定向。

完整排查清单

遇到HSTS不生效，按这个顺序逐一排查：

1. ✅ 确认HTTPS正常，证书无警告
2. ✅ curl确认HTTPS响应中有Strict-Transport-Security头
3. ✅ max-age值大于0且足够大
4. ✅ Nginx配置中add_header未被继承规则覆盖
5. ✅ 使用always参数确保所有响应都带HSTS（包括404、502等）
6. ✅ 清除浏览器HSTS缓存后重新测试
7. ✅ 用无痕模式验证排除缓存干扰

相关文章推荐

• Nginx HSTS和HTTPS强制跳转配置：一次搞清楚两个安全机制怎么一起用
• Nginx HSTS配置错误排查：常见原因与解决方法
• HSTS浏览器缓存清除方法：彻底清除HSTS强制HTTPS缓存的完整指南