先说结论:浏览器什么时候开始"记住"HSTS?
很多教程只告诉你"配置HSTS",但没说清楚浏览器到底什么时候开始强制执行HTTPS。这里直接给结论:
浏览器在第一次收到Strict-Transport-Security响应头之后,就会立即将域名加入HSTS列表,不需要等待max-age秒。
max-age的含义是:记住这个策略的有效期有多长,而不是"多少秒之后才开始生效"。
举个例子:你配置max-age=31536000(一年),用户第一次访问你的HTTPS网站,响应...
Strict-Transport-Security
-
2026.05.29 | youres | 9次围观
-
2026.05.27 | youres | 18次围观
配好了 HSTS,响应头却迟迟不出现?很多人在 Nginx 上配置完 Strict-Transport-Security 之后,第一反应就是打开浏览器访问网站,结果一看响应头——什么都没有。本质上这不是什么疑难杂症,大多数时候问题出在几个容易忽略的地方。这篇文章把 HSTS 不生效的常见原因逐一梳理,并给出对应的解决方法。 HSTS 是什么,配置逻辑要先搞清楚 在说排查方法之前,先把 HSTS 的基本逻辑理清楚。Strict-Transport-Security 响应头告诉... -
2026.05.25 | youres | 17次围观
Strict-Transport-Security为什么不生效? 配置了HSTS响应头,浏览器却还是走HTTP访问?这是很多运维和开发人员踩过的坑。Strict-Transport-Security(简称HSTS)的生效条件比想象中更严格,一个细节没注意到就可能白配置。本文把最常见的6个不生效原因整理出来,帮你快速定位问题。 一、HSTS响应头只在HTTPS响应中生效 这是最容易被忽略的一点:浏览器只会在HTTPS响应中接受Strict-Transport-Security...