先说结论:浏览器什么时候开始"记住"HSTS?
很多教程只告诉你"配置HSTS",但没说清楚浏览器到底什么时候开始强制执行HTTPS。这里直接给结论:
浏览器在第一次收到Strict-Transport-Security响应头之后,就会立即将域名加入HSTS列表,不需要等待max-age秒。
max-age的含义是:记住这个策略的有效期有多长,而不是"多少秒之后才开始生效"。
举个例子:你配置max-age=31536000(一年),用户第一次访问你的HTTPS网站,响应...
浏览器
-
2026.05.29 | youres | 9次围观
-
2026.05.25 | youres | 14次围观
很多人在配置完HSTS之后,访问网站发现浏览器还是走HTTP。这是一件很让人困惑的事情——明明已经在服务器上配置了Strict-Transport-Security响应头,为什么没有生效? 这篇文章就来说清楚这个问题,从5个方向系统排查,帮你找出真正的原因。 1. 确认HSTS响应头是否真正返回 第一步,先确认服务器真的返回了HSTS头。你可以用curl命令检查: curl -I https://your-domain.com 看响应头中是否包含Strict-Tra... -
2026.05.25 | youres | 12次围观
很多人在配置完HSTS之后,访问网站发现浏览器还是走HTTP。这是一件很让人困惑的事情——明明已经在服务器上配置了Strict-Transport-Security响应头,为什么没有生效? 这篇文章就来说清楚这个问题,从5个方向系统排查,帮你找出真正的原因。 1. 确认HSTS响应头是否真正返回 第一步,先确认服务器真的返回了HSTS头。你可以用curl命令检查: curl -I https://your-domain.com 看响应头中是否包含Strict-Tra...