先说结论:浏览器什么时候开始"记住"HSTS?
很多教程只告诉你"配置HSTS",但没说清楚浏览器到底什么时候开始强制执行HTTPS。这里直接给结论:
浏览器在第一次收到Strict-Transport-Security响应头之后,就会立即将域名加入HSTS列表,不需要等待max-age秒。
max-age的含义是:记住这个策略的有效期有多长,而不是"多少秒之后才开始生效"。
举个例子:你配置max-age=31536000(一年),用户第一次访问你的HTTPS网站,响应...
HTTPS
-
2026.05.29 | youres | 9次围观
-
2026.05.28 | youres | 7次围观
什么是ERR_TOO_MANY_REDIRECTS错误? 当你在浏览器中访问网站时,如果页面不断跳转、始终无法加载,最终浏览器会弹出如下错误提示: ERR_TOO_MANY_REDIRECTS 此网页包含重定向循环 这意味着你的请求在服务器之间被反复跳转,形成了一个死循环。浏览器的重定向次数有上限(Chrome通常是20次),一旦超过就强制终止请求并报错。 在Nginx环境下,这个问题非常常见,尤其是在配置HTTP跳转HTTPS、CDN回源、多域名绑定等场景中。本文总结了7个... -
2026.05.28 | youres | 7次围观
问题现象:CDN跳转后参数不见了 很多站长遇到过这种情况:源站Nginx配置明明正确,但用户从HTTP访问时,UTM参数、分页参数?page=2、搜索关键词?q=xxx全都不见了。根本原因是CDN层的跳转配置没有正确传递查询字符串,而不是源站的问题。 排查这类问题要分三层:CDN边缘节点跳转 → CDN回源请求 → 源站Nginx处理。任何一层出问题,参数都会丢失。 陷阱一:CDN默认301跳转不附带查询参数 大部分CDN(阿里云、腾讯云、Cloudflare)的"HTTP... -
2026.05.27 | youres | 14次围观
什么是HSTS max-age? HSTS(HTTP Strict Transport Security)通过Strict-Transport-Security响应头告诉浏览器:在未来一段时间内,这个域名只允许通过HTTPS访问。 其中max-age参数就是那个"一段时间",单位是秒。比如: [代码示例已省略,请参考正文] 意思是:接下来31536000秒(1年)内,浏览器都必须用HTTPS访问这个域名。 max-age设置为0到底会发生什么? 把max-age设置为0,本...
-
2026.05.27 | youres | 10次围观
什么是HSTS max-ageHSTS max-age是浏览器缓存HTTPS强制策略的时间,单位为秒。max-age设置为0会怎样设置为0后浏览器会立即清除HSTS缓存,不再强制跳转HTTPS。注意事项撤销HSTS前应先降低max-age值,等待用户端缓存过期后再设置为0。...
-
2026.05.27 | youres | 8次围观
引言:为什么不能直接上31536000? HSTS(HTTP Strict Transport Security)的 max-age 参数决定了浏览器记住"只走HTTPS"指令的时间长度。很多教程一上来就让你设 max-age=31536000(一年),但这其实是个坑。 如果你配错了、或者证书部署有问题,用户一年内都无法访问你的HTTP版本——哪怕你后来修好了。所以正确的做法是两个阶段:先用小值测试,确认无误后再切换到正式值。 HSTS max-age 基础回顾 HSTS响... -
2026.05.27 | youres | 18次围观
配好了 HSTS,响应头却迟迟不出现?很多人在 Nginx 上配置完 Strict-Transport-Security 之后,第一反应就是打开浏览器访问网站,结果一看响应头——什么都没有。本质上这不是什么疑难杂症,大多数时候问题出在几个容易忽略的地方。这篇文章把 HSTS 不生效的常见原因逐一梳理,并给出对应的解决方法。 HSTS 是什么,配置逻辑要先搞清楚 在说排查方法之前,先把 HSTS 的基本逻辑理清楚。Strict-Transport-Security 响应头告诉... -
2026.05.27 | youres | 9次围观
当你的营销邮件、社交媒体或广告投放带来流量时,UTM参数是追踪来源的关键。但如果HTTP跳转HTTPS过程中参数丢失,你的数据就会大打折扣。这篇文章帮你彻底排查问题。 UTM参数是什么?为什么跳转后会丢失? UTM参数是附加在URL后面的追踪参数,格式如: https://example.com/?utm_source=newsletter&utm_medium=email&utm_campaign=summer_sale 当用户访问HTTP链接被重定向到HTTPS时,如果... -
2026.05.26 | youres | 12次围观
什么是HSTS preload列表 HSTS preload列表是一个硬编码在浏览器中的域名清单,由Google维护,内置在Chrome、Firefox、Safari等主流浏览器的源代码里。只要域名在这个列表里,浏览器会无条件强制HTTPS,即使用户手动输入http://或者点击HTTP链接,也会被自动升级为HTTPS。 这比普通的HSTS响应头更底层——它不需要第一次访问来获取响应头,从用户安装浏览器的那一刻起,你的域名就已经被"记死"为HTTPS-only。 Chrom... -
2026.05.26 | youres | 13次围观
为什么需要撤销HSTS preload提交? HSTS preload列表一旦生效,浏览器会强制使用该域名的HTTPS连接。但在某些场景下,你可能需要撤销这个设置: 网站架构调整:计划将部分子域名改回HTTP(虽然不推荐) 证书管理变更:更换CA供应商,过渡期可能需要临时回退 误操作提交:不小心提交了不适合preload的域名 业务方向变化:网站不再提供HTTPS服务(极少情况) 无论原因如何,撤销HSTS preload是一个需要谨慎操作的过程,因为浏览器缓存更新需要时...