HTTP严格传输安全(英语:HTTP Strict Transport Security,缩写:HSTS)是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。 引用自维基百科
在童家小站建设时,我会用myssl来检测https配置状态。但是使用宝塔面板直接部署,只能拿到A的评分。之所以拿不到A+,就是因为没有开启HSTS。如下是开启方法: 点开后,是一个可以编辑的文档: 找到ssl配置一块,加入如下代码:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
好了,配置完毕,再去检测一下吧。