security_headers_hsts_preload
'security_headers_hsts_preload' 指令控制 HSTS 头中是否包含 'preload',以表明符合 Chromium 的 preload 列表。
NGINX module for sending security headers
·
httpserverlocation
语法security_headers_hsts_preload on | off;
默认值on
上下文http, server, location
参数flag
说明
'security_headers_hsts_preload' 指令位于 NGINX 的 security headers 模块中,允许你选择是否在 Strict-Transport-Security (HSTS) 头中包含 'preload' 选项。启用时,'preload' 指令表示站点打算被包含在由浏览器管理的 HSTS preload 列表中,从而通过强制仅通过 HTTPS 访问站点来增强安全性。这对于保护服务器首次请求时免受中间人攻击尤为有益。\n\n该指令接受一个布尔标志,可设置为 'on' 或 'off'。如果设置为 'on','Preload' 指令将自动追加到 HSTS 头中。相反,设置为 'off' 将阻止 HSTS 头包含 'preload' 指令。正确管理此设置非常重要,尤其是在站点可能会收到不安全的 HTTP 请求的情况下,因为错误的配置可能导致无意的域名被关联为 'HTTPS only' 行为,从而限制这些域名通过纯 HTTP 的访问。
配置示例
http {
security_headers on;
security_headers_hsts_preload on;
}⚠
请务必考虑预加载的影响,因为它可能会永久改变用户通过 HTTP 访问您站点的方式。
⚠
在不确信所有子域名都只使用 HTTPS 的情况下将此指令设置为 'on',可能会限制访问您站点的有效流量。