我們在文件中写入以下内容，然后保存退出：
 
 

 

 HSTS并不能完美的解决HTTP会话劫持它也有一些缺点。如果用户在以下情况通过HTTP访问受HSTS保护的网站仍然容易受到攻击：
 
 

• 近期没有访问该网站，max-age已过期

 

 为了解决这个问题Google维护了一份 (HSTS Preload List)。我们可以手动将自己的域名提交到HSTS预加载列表然后這个列表会被硬编码到Chrome浏览器中。同时大多数主流浏览器如
 
 

 提交HSTS预加载列表之前网站需要满足以下几点要求：
 
 

• 如果正在监听80端口，则需偠在同一主机上将HTTP重定向到HTTPS
• 通过HTTPS服务所有的子域名特别是www子域名

 

 需要注意的是，从预加载列表中删除自己的域名非常困难可能需要几個月的时间才能使用户更新。因此除非确定可以长期支持整个站点和其子域名的HTTPS服务，否则不要申请加入该列表
 
 

 

 SSL操作会消耗额外的CPU资源
 
 

 

 如果是多个域名的话，server_name选项也支持正则表达式修改完成后保存退出，然后重启nginx服务即可实现跳转
 
 

 

 HTTP严格传输安全HTTP Strict Transport Security，即HSTS是由互联网工程任务组发布的互联网安全策略机制。采用HSTS策略的网站会强制浏览器使用HTTPS而不是HTTP访问当前资源以减少会话劫持风险、保护网站流量。
 
 

 网站第一次通过HTTPS请求时服务器响应Strict-Transport-Security头，浏览器记录下这些信息然后在规定时间内访问这个网站的请求都会自动把HTTP替换为HTTPS并忽略其它的跳轉设置(如301重定向跳转)。
 
 

 当HSTS响应头(Response Header)设置的过期时间到了后面通过HTTP的访问恢复到正常模式，不会再自动跳转到HTTPS每次浏览器接收到STS头，它都會更新这个网站的过期时间防止过期发生。
 
 

 HSTS响应头的语法如下：
 
 

• includeSubDomains 可选项如果添加这个参数，那么说明此规则也适用于该网站的所有子域名
• preload 可选项将域名申请添加到

 

 在nginx中设置HSTS响应头非常简单，只需要在监听443端口的server中加入以下内容：
 
 

• always参数确保为所有响应（包括内部生成的錯误响应）设置HSTS响应头

 

 向客户提供HSTS策略后它将在指定<expire-time>秒内缓存信息。在此期间浏览器拒绝通过未加密的HTTP访问Web服务，同时也拒绝网站证書错误而不会给用户继续访问的选择。如果指定了includeSubDomains参数那么这些限制也适用于该域名的所有子域名。
 
 

 撤消HSTS策略以删除网站或服务的HTTPS版夲非常困难因此在测试阶段，请先使用非常短的max-age时间例如设置为5分钟(max-age=300)，并在测试没有问题时逐渐延长为一周、一月或一年(max-age=为一年)
 
 

 
 

 

 我們希望当用户使用http访问网站时能够自动重定向到https，或者更进一步能够同时实现子域名www到non-www的重定向。
 
 

 我们可以使用rewrite或者301重定向实现这种跳轉在这里只介绍301重定向的方法。