边缘加速
  • 站点加速
    • 概述
    • 访问控制
      • Token authentication
        • Token 鉴权
        • 认证方法A
        • 认证方法B
        • 认证方法C
        • 认证方法D
        • 认证方法V
    • 智能加速
    • Cache configuration
      • 概述
      • EdgeOne caching rules introduction
        • EdgeOne 内容缓存规则
        • 缓存键(Cache Key)介绍
        • Vary 特性
      • 缓存配置
        • 自定义 Cache Key
        • 节点缓存 TTL
        • 状态码缓存 TTL
        • 浏览器缓存 TTL
        • 离线缓存
        • 缓存预刷新
      • 清除和预热缓存
        • 清除缓存
        • 预热缓存
        • Prefetch M3U8
      • How to improve the Cache Hit Rate of EdgeOne
    • 文件优化
      • 内容压缩
      • 智能压缩
    • 网络优化
      • HTTP/2
      • HTTP/3(QUIC)
        • 概述
        • 启用 HTTP/3
        • QUIC SDK
          • SDK 概览
          • SDK 下载和集成指引
          • 代码示例
            • Android
            • iOS
          • API 文档
            • Android
            • iOS
      • IPv6 访问
      • 最大上传大小
      • WebSocket
      • 携带客户端 IP 头部回源
      • 携带客户端 IP 地理位置头部回源
      • 开启 gRPC
      • Network Error Logging
    • URL 重写
      • 访问 URL 重定向
      • 回源 URL 重写
    • 修改头部
      • 修改 HTTP 节点响应头
      • 修改 HTTP 回源请求头
    • Modify response content
      • HTTP Response
      • Custom Error Page
    • 规则引擎
      • 概述
      • 规则管理
      • 变量
      • 规则引擎支持的匹配类型与操作
    • Image and video processing
      • Audio and Video Pre-pulling
      • Just-in-Time Image Processing
      • Video Just-In-Time Processing
      • VOD Media Origin
    • Speed limit for single connection download
    • 请求与响应行为
      • HTTP响应
      • 请求处理顺序
      • EdgeOne 默认 HTTP 回源请求头
      • EdgeOne 默认 HTTP 响应头
      • HTTP限制
    • 媒体服务
      • 音视频预拉取
      • 实时图片处理
      • 实时媒体处理
      • 点播媒体源
  • 四层代理
    • 概述
    • 新建四层代理实例
    • 修改四层代理实例配置
    • 停用/删除四层代理实例
    • 批量配置转发规则
    • 获取客户端真实IP
      • 通过 TOA 获取 TCP 协议客户端真实 IP
      • 通过 Proxy Protocol V1/V2 协议获取客户端真实 IP
        • 概述
        • 方式一:通过 Nginx 获取客户端真实 IP
        • 方式二:在业务服务器解析客户端真实 IP
        • Proxy Protocol V1/V2 获取的客户端真实 IP 格式
      • 通过 SPP 协议传递客户端真实 IP
  • 边缘 DNS
    • Domain Name Services
      • 概述
      • DNS resolution for managed domains
        • 修改 DNS 服务器
        • 配置域名 DNS 解析记录
        • 批量导入DNS记录
        • DNS 高级配置
      • Access accelerated domains
        • 添加加速域名
        • 站点/域名归属权验证
        • 修改 CNAME 解析
        • 验证业务访问
      • Traffic scheduling
        • 流量调度管理
    • HTTPS Certificate
      • Overview
      • Edge HTTPS Certificate
        • Overview
        • Deploying/Updating SSL Certificate for A Domain Name
        • Configuring A Free Certificate for A Domain Name
        • Using Keyless Certificate
      • Edge mTLS Authentication
      • Origin Certificate Validation
      • HTTPS configuration
        • Forced HTTPS Access
        • Enabling HSTS
        • SSL/TLS security configuration
          • Configuring SSL/TLS Security
          • TLS Versions and Cipher Suites
        • Enabling OCSP Stapling
      • Related References
        • Using OpenSSL to Generate Self-Signed Certificates
        • Certificate Format Requirements
        • The Difference Between one-way authentication and Mutual authentication
    • 源站配置
      • 负载均衡
        • 概述
        • 快速创建负载均衡实例
        • 健康检查策略介绍
        • 查看源站健康状态
        • 相关参考
          • 负载均衡相关概念
          • 请求重试策略介绍
      • Origin Group Configuration
      • 回源配置
        • 回源超时
        • 配置回源 HTTPS
        • Host Header 重写
        • 回源请求参数设置
        • 回源跟随重定向
        • HTTP/2 回源
        • 分片回源
        • Modify Origin
        • Origin-pull Rate Limiting Policy
      • Origin Protection(Obtaining/Updating Origin IP Address Range)
      • 相关参考
        • 旧版源站组兼容相关问题
文档概览/
边缘加速/
边缘 DNS/
HTTPS Certificate/
HTTPS configuration/
Enabling HSTS/

Enabling HSTS

功能说明

HSTS(HTTP Strict-Transport-Security)是国际互联网工程组织 IETE 推行的 Web 安全协议,用来通知浏览器使用更安全的 HTTPS 访问该站点。若您需要增强网站的安全性,防止恶意攻击者通过中间人攻击窃取用户敏感信息;或需要遵循数据隐私保护法规,保护用户的隐私信息;或需要提高网站的信誉度,增强用户对网站的信任感,均可以配置 HSTS 来提高网站的安全性和信誉度。



当客户端使用 HTTP 协议向 EdgeOne 节点发起请求时,即使开启了强制 HTTPS 访问将请求重定向至 HTTPS,因为第一次请求时仍然使用 HTTP 请求,该过程可能被拦截或恶意篡改。

为了提升访问安全,可通过 HSTS 来强制浏览器直接发起 HTTPS 访问,HSTS 是高安全等级网站的重要安全机制,启用 HSTS 后,EdgeOne 在响应 HTTPS 请求时会增加一个响应头部 Strict-Transport-Security,通过该头部告诉浏览器在指定的时间内直接使用 HTTPS 协议发起请求。
注意:
1. HSTS 的Strict-Transport-Security 头部仅在 HTTPS 请求中生效,HTTP 请求不会响应该头部。因此,开启 HSTS 时,建议配置 强制 HTTPS 访问,保证用户首次访问时通过 HTTPS 请求访问,以使该配置生效。
2. 当配置了响应了 HSTS 头部时,浏览器如果验证当前站点存在证书安全风险,将提示用户并拦截当前的用户访问行为,以进一步保护用户数据安全。

场景一:针对站点所有域名启用 HSTS

若您需要对整个接入站点启用 HSTS,可参考以下步骤:

前提条件

当前站点的访问域名,均已配置 SSL 证书。如何配置 SSL 证书请参考:证书配置

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在站点详情页面,单击站点加速,进入站点全局配置页面,在右侧导航栏中,单击 HTTPS
3. 找到 HSTS 配置卡片,单击开关,可开始配置 HSTS 。

4. 在弹出的配置窗中,可对 Strict-Transport-Security 头部内容进行配置。
配置状态:开启/关闭 HSTS 配置。
缓存时间:即 max-age 字段内容,可配置1-31536000整数。
包含子域名:开启后,将包含 includeSubDomains 指令。
预加载:开启后,将包含 preload 指令。

场景二:针对指定域名启用 HSTS

若您只需要针对指定域名开启 HSTS 或需要针对不同域名配置不同的 HSTS,可参考以下步骤。

前提条件

当前指定需要启用 HSTS 的域名,均已配置 SSL 证书。如何配置 SSL 证书请参考:证书配置

操作步骤

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在站点详情页面,单击站点加速,进入站点全局配置页面,单击规则引擎 Tab 页。
3. 在规则引擎页面,单击创建规则,选择新增空白规则
4. 在规则编辑页面,选择 Host 匹配类型以匹配指定域名的请求。
5. 单击操作 > 选择框,在弹出的操作列表内,选择操作为 HSTS配置,单击开关。

6. 单击保存并发布,即可完成该规则配置。

了解更多

Strict-Transport-Security 头部内包含的各字段含义说明如下:
字段
说明
max-age=<expire-time>
HSTS 头部的过期时间,单位为秒,在该时间内浏览器始终以 HTTPS 发起请求。
includeSubDomains(可选)
若包含此指令,则当前域名及其子域名均会启用 HSTS。
preload(可选)
该指令用于表示同意当前域名加入所有主流的 Web 浏览器的 HSTS 预加载列表。加入浏览器内置的 HSTS 列表后,浏览器在发起该域名请求时,均会使用 HTTPS 请求。若需要加入浏览器的内置 HSTS 列表,需要满足以下条件:
max-age 至少是31536000(一年)。
必须包含 includeSubDomains
必须包含 preload
您可以查看 HSTS preload list 来验证当前域名是否在浏览器预加载列表内,主流浏览器将定期在版本更新中将 HSTS preload list 通过硬编码的方式写入。