tencent cloud

边缘安全加速平台 EO

动态与公告
产品动态
安全公告
产品公告
产品简介
产品概述
产品优势
应用场景
EdgeOne 与 CDN 等产品功能对比
使用限制
购买指南
试用套餐体验权益说明
免费版套餐使用说明
计费概述
计费项目
购买指引
续费指引
欠费与退款说明
套餐选型对比
关于“干净流量”计费说明
DDoS 防护容量说明
快速入门
选择业务场景
快速接入网站安全加速
通过 Pages 快速部署网站
域名服务与源站配置
域名服务
HTTPS 证书
源站配置
站点加速
概述
访问控制
智能加速
缓存配置
文件优化
网络优化
URL 重写
修改头部
修改应答内容
规则引擎
图片与视频处理
单连接下载限速
DDoS 与 Web 防护
概述
DDoS 防护
Web 防护
Bot 管理
API 资产识别(Beta)
边缘函数
概述
快速指引
操作指引
Runtime APIs
示例函数
实践教程
Pages
四层代理
概述
新建四层代理实例
修改四层代理实例配置
停用/删除四层代理实例
批量配置转发规则
获取客户端真实IP
数据分析与日志服务
日志服务
数据分析
告警服务
站点与计费管理
计费管理
站点管理
版本管理
通用策略
通用参考
配置语法
请求与响应行为
国家/地区及对应代码枚举
Terraform
Terraform 简介
安装和配置 Terraform
实践教程
自动预热/清除缓存
防盗刷/盗链实践
HTTPS 相关实践
加速优化
流量调度
数据分析与告警
第三方日志平台集成实践
对象存储类源站(例如:COS)配置实践
跨域响应配置
API 文档
History
Introduction
API Category
Making API Requests
Site APIs
Acceleration Domain Management APIs
Site Acceleration Configuration APIs
Edge Function APIs
Alias Domain APIs
Security Configuration APIs
Layer 4 Application Proxy APIs
Content Management APIs
Data Analysis APIs
Log Service APIs
Billing APIs
Certificate APIs
Origin Protection APIs
Load Balancing APIs
Diagnostic Tool APIs
Custom Response Page APIs
API Security APIs
DNS Record APIs
Content Identifier APIs
Legacy APIs
Ownership APIs
Image and Video Processing APIs
Multi-Channel Security Gateway APIs
Version Management APIs
Data Types
Error Codes
常见问题
产品特性相关问题
DNS 记录相关问题
域名配置相关问题
站点加速相关问题
数据与日志相关问题
安全防护相关问题
源站配置相关问题
排障指南
异常状态码参考
EdgeOne 4XX/5XX 状态码排障指南
520/524状态码排障指南
521/522 状态码排障指南
工具指南
相关协议
Service Level Agreement
源站防护启用特别约定
TEO 政策
隐私协议
数据处理和安全协议
联系我们
词汇表
文档边缘安全加速平台 EO域名服务与源站配置HTTPS 证书HTTPS 配置启用 HSTS

启用 HSTS

PDF
聚焦模式
字号
最后更新时间: 2025-07-29 11:43:49

功能说明

HSTS(HTTP Strict-Transport-Security)是国际互联网工程组织 IETE 推行的 Web 安全协议,用来通知浏览器使用更安全的 HTTPS 访问该站点。若您需要增强网站的安全性,防止恶意攻击者通过中间人攻击窃取用户敏感信息;或需要遵循数据隐私保护法规,保护用户的隐私信息;或需要提高网站的信誉度,增强用户对网站的信任感,均可以配置 HSTS 来提高网站的安全性和信誉度。



当客户端使用 HTTP 协议向 EdgeOne 节点发起请求时,即使开启了强制 HTTPS 访问将请求重定向至 HTTPS,因为第一次请求时仍然使用 HTTP 请求,该过程可能被拦截或恶意篡改。

为了提升访问安全,可通过 HSTS 来强制浏览器直接发起 HTTPS 访问,HSTS 是高安全等级网站的重要安全机制,启用 HSTS 后,EdgeOne 在响应 HTTPS 请求时会增加一个响应头部 Strict-Transport-Security,通过该头部告诉浏览器在指定的时间内直接使用 HTTPS 协议发起请求。
注意:
1. HSTS 的Strict-Transport-Security 头部仅在 HTTPS 请求中生效,HTTP 请求不会响应该头部。因此,开启 HSTS 时,建议配置 强制 HTTPS 访问,保证用户首次访问时通过 HTTPS 请求访问,以使该配置生效。
2. 当配置了响应了 HSTS 头部时,浏览器如果验证当前站点存在证书安全风险,将提示用户并拦截当前的用户访问行为,以进一步保护用户数据安全。

场景一:针对站点所有域名启用 HSTS

若您需要对整个接入站点启用 HSTS,可参考以下步骤:

前提条件

当前站点的访问域名,均已配置 SSL 证书。如何配置 SSL 证书请参考:证书配置

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在站点详情页面,单击站点加速,进入站点全局配置页面,在右侧导航栏中,单击 HTTPS
3. 找到 HSTS 配置卡片,单击开关,可开始配置 HSTS 。

4. 在弹出的配置窗中,可对 Strict-Transport-Security 头部内容进行配置。
配置状态:开启/关闭 HSTS 配置。
缓存时间:即 max-age 字段内容,可配置1-31536000整数。
包含子域名:开启后,将包含 includeSubDomains 指令。
预加载:开启后,将包含 preload 指令。

场景二:针对指定域名启用 HSTS

若您只需要针对指定域名开启 HSTS 或需要针对不同域名配置不同的 HSTS,可参考以下步骤。

前提条件

当前指定需要启用 HSTS 的域名,均已配置 SSL 证书。如何配置 SSL 证书请参考:证书配置

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在站点详情页面,单击站点加速,进入站点全局配置页面,单击规则引擎 Tab 页。
3. 在规则引擎页面,单击创建规则,选择新增空白规则
4. 在规则编辑页面,选择 Host 匹配类型以匹配指定域名的请求。
5. 单击操作 > 选择框,在弹出的操作列表内,选择操作为 HSTS配置,单击开关。

6. 单击保存并发布,即可完成该规则配置。

了解更多

Strict-Transport-Security 头部内包含的各字段含义说明如下:
字段
说明
max-age=<expire-time>
HSTS 头部的过期时间,单位为秒,在该时间内浏览器始终以 HTTPS 发起请求。
includeSubDomains(可选)
若包含此指令,则当前域名及其子域名均会启用 HSTS。
preload(可选)
该指令用于表示同意当前域名加入所有主流的 Web 浏览器的 HSTS 预加载列表。加入浏览器内置的 HSTS 列表后,浏览器在发起该域名请求时,均会使用 HTTPS 请求。若需要加入浏览器的内置 HSTS 列表,需要满足以下条件:
max-age 至少是31536000(一年)。
必须包含 includeSubDomains
必须包含 preload
您可以查看 HSTS preload list 来验证当前域名是否在浏览器预加载列表内,主流浏览器将定期在版本更新中将 HSTS preload list 通过硬编码的方式写入。

上一篇: 强制 HTTPS 访问下一篇: 配置 SSL/TLS 安全等级

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈