如何在 Nginx 中启用 HSTS？

HTTP Strict Transport Security（HSTS）是一种安全机制，可以帮助保护网站免受SSL/TLS剥离攻击和会话劫持等威胁。它强制客户端使用HTTPS与服务器建立安全连接，从而提高网站的安全性和数据保护级别。本文将为您提供在Nginx中启用HSTS的详细步骤和指导。

步骤一：编辑 Nginx 配置文件

1. 打开终端，使用文本编辑器（如nano或vi）打开Nginx的配置文件：

$ sudo nano /etc/nginx/nginx.conf

2. 在 http 块内添加以下行：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

这将添加一个名为 Strict-Transport-Security 的HTTP响应头，并设置了HSTS的相关选项。

• max-age：指定HSTS策略的持续时间，以秒为单位。在此示例中，设置为31536000秒，相当于一年。
• includeSubDomains：指定是否包含子域名。通过设置此选项为true，HSTS策略将应用于所有子域名。
• preload：指示浏览器将网站添加到HSTS预加载列表中，以便所有浏览器都将始终使用HTTPS与网站建立连接。

根据您的需求进行适当的配置，并根据注释提供的说明进行修改。

3. 保存并关闭文件。

步骤二：重新加载 Nginx 配置

在编辑配置文件后，我们需要重新加载Nginx以使更改生效。

1. 在终端中，运行以下命令重新加载Nginx配置：

$ sudo systemctl reload nginx

这将重新加载Nginx配置文件，使新的HSTS设置生效。

步骤三：验证 HSTS 设置

在完成配置后，我们可以验证HSTS是否已正确启用。

1. 打开您的网站，使用浏览器访问。

2. 打开浏览器的开发者工具（通常按下 F12 键），切换到 “Network” 或 “Network Monitor” 标签。

3. 单击您的网站的请求，然后在 “Headers” 或 “Response Headers” 部分查找 Strict-Transport-Security 头。

如果您能够看到名为 Strict-Transport-Security 的头，并且其值与您在配置文件中设置的值相匹配，则表示HSTS已成功启用。

注意事项

启用HSTS是一项关键的安全功能，但在启用之前，请务必考虑以下几点：

1. 需要确保您的网站已经正常配置了有效的SSL/TLS证书。HSTS只能与HTTPS一起使用，因此在启用HSTS之前，确保您的网站已经使用有效的SSL/TLS证书启用了HTTPS。

2. HSTS策略的持续时间（max-age）应根据您的需求进行调整。较长的持续时间可以更好地保护您的网站，但也会增加将网站从HSTS预加载列表中移除的等待时间。

3. 在添加 includeSubDomains 选项时要小心。如果您不希望将HSTS策略应用于所有子域名，可以将此选项删除或设置为false。

4. 使用 preload 选项时，请确保您已充分了解其含义和影响。将网站添加到HSTS预加载列表中是一个长期决定，并且需要遵循一些要求和流程。请访问 HSTS Preload 官方网站，了解如何将网站添加到预加载列表中。

5. 在配置完HSTS后，务必进行全面的测试，确保网站的正常运行。特别是在开发和测试环境中，可能需要适当的配置和调整。

结论

启用HTTP Strict Transport Security（HSTS）是保护您的网站免受剥离攻击和会话劫持等威胁的重要步骤。通过遵循本文提供的步骤和指导，在Nginx中启用HSTS应该是一个相对简单的过程。

请记住，在启用HSTS之前，请确保您的网站已经配置了有效的SSL/TLS证书，并且进行了全面的测试。正确配置和使用HSTS可以提高您的网站的安全性，保护用户的隐私和数据。