边缘安全
  • 概述
  • DDoS 防护
    • DDoS 防护概述
    • 使用独立 DDoS 防护
    • 配置独立 DDoS 防护策略
      • 调整 DDoS 防护等级
      • 独立 DDoS 攻击流量告警
      • 配置 IP 黑白名单
      • 配置区域封禁
      • 配置端口过滤
      • 配置特征过滤
      • 配置协议封禁
      • 配置连接类攻击防护
      • 相关参考
        • 处置方式
        • 相关概念介绍
  • Web 防护
    • 概述
    • 托管规则
    • CC 攻击防护
    • 自定义规则
    • 自定义速率限制规则
    • 防护例外规则
    • 托管定制规则
    • Web 安全监控告警
    • 相关参考
      • Web 防护请求处理顺序
      • 处置方式
      • 匹配条件
  • Bot 管理
    • 概述
    • Bot 智能分析
    • Bot 基础特征管理
    • 客户端画像分析
    • 主动特征识别
    • 自定义 Bot 规则
    • Bot 管理例外规则
    • 相关参考
      • 处置方式
  • 策略模板
  • IP 和网段分组
  • 源站防护
  • 自定义响应页面
  • 告警通知推送
  • SSL/TLS
    • 概述
    • 部署/更新 SSL 托管证书至 EdgeOne 域名
    • 使用免费证书部署至 EdgeOne 域名
    • HTTPS 配置
      • 强制 HTTPS 访问
      • 启用 HSTS
      • SSL/TLS 安全配置
        • 配置 SSL/TLS 安全等级
        • TLS 版本及密码套件说明
      • 开启 OCSP 装订

启用 HSTS

功能说明

HSTS(HTTP Strict-Transport-Security)是国际互联网工程组织 IETE 推行的 Web 安全协议,用来通知浏览器使用更安全的 HTTPS 访问该站点。若您需要增强网站的安全性,防止恶意攻击者通过中间人攻击窃取用户敏感信息;或需要遵循数据隐私保护法规,保护用户的隐私信息;或需要提高网站的信誉度,增强用户对网站的信任感,均可以配置 HSTS 来提高网站的安全性和信誉度。



当客户端使用 HTTP 协议向 EdgeOne 节点发起请求时,即使开启了强制 HTTPS 访问将请求重定向至 HTTPS,因为第一次请求时仍然使用 HTTP 请求,该过程可能被拦截或恶意篡改。

为了提升访问安全,可通过 HSTS 来强制浏览器直接发起 HTTPS 访问,HSTS 是高安全等级网站的重要安全机制,启用 HSTS 后,EdgeOne 在响应 HTTPS 请求时会增加一个响应头部 Strict-Transport-Security,通过该头部告诉浏览器在指定的时间内直接使用 HTTPS 协议发起请求。
注意:
1. HSTS 的Strict-Transport-Security 头部仅在 HTTPS 请求中生效,HTTP 请求不会响应该头部。因此,开启 HSTS 时,建议配置 强制 HTTPS 访问,保证用户首次访问时通过 HTTPS 请求访问,以使该配置生效。
2. 当配置了响应了 HSTS 头部时,浏览器如果验证当前站点存在证书安全风险,将提示用户并拦截当前的用户访问行为,以进一步保护用户数据安全。

场景一:针对站点所有域名启用 HSTS

若您需要对整个接入站点启用 HSTS,可参考以下步骤:

前提条件

当前站点的访问域名,均已配置 SSL 证书。如何配置 SSL 证书请参考:证书配置

操作步骤

1. 登录边缘安全加速平台 EO控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点,进入站点详情页面。
2. 在站点详情页面,单击站点加速,进入站点全局配置页面,在右侧导航栏中,单击 HTTPS
3. 找到 HSTS 配置卡片,单击开关,可开始配置 HSTS 。

4. 在弹出的配置窗中,可对 Strict-Transport-Security 头部内容进行配置。
配置状态:开启/关闭 HSTS 配置。
缓存时间:即 max-age 字段内容,可配置1-31536000整数。
包含子域名:开启后,将包含 includeSubDomains 指令。
预加载:开启后,将包含 preload 指令。

场景二:针对指定域名启用 HSTS

若您只需要针对指定域名开启 HSTS 或需要针对不同域名配置不同的 HSTS,可参考以下步骤。

前提条件

当前指定需要启用 HSTS 的域名,均已配置 SSL 证书。如何配置 SSL 证书请参考:证书配置

操作步骤

1. 登录 边缘安全加速平台 EO控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点。
2. 在站点详情页面,单击站点加速,进入站点全局配置页面,单击规则引擎 Tab 页。
3. 在规则引擎页面,单击创建规则,选择新增空白规则
4. 在规则编辑页面,选择 Host 匹配类型以匹配指定域名的请求。
5. 单击操作 > 选择框,在弹出的操作列表内,选择操作为 HSTS配置,单击开关。

6. 单击保存并发布,即可完成该规则配置。

了解更多

Strict-Transport-Security 头部内包含的各字段含义说明如下:
字段
说明
max-age=<expire-time>
HSTS 头部的过期时间,单位为秒,在该时间内浏览器始终以 HTTPS 发起请求。
includeSubDomains(可选)
若包含此指令,则当前域名及其子域名均会启用 HSTS。
preload(可选)
该指令用于表示同意当前域名加入所有主流的 Web 浏览器的 HSTS 预加载列表。加入浏览器内置的 HSTS 列表后,浏览器在发起该域名请求时,均会使用 HTTPS 请求。若需要加入浏览器的内置 HSTS 列表,需要满足以下条件:
max-age 至少是31536000(一年)。
必须包含 includeSubDomains
必须包含 preload
您可以查看 HSTS preload list 来验证当前域名是否在浏览器预加载列表内,主流浏览器将定期在版本更新中将 HSTS preload list 通过硬编码的方式写入。