HSTS标头生成器

为您的网站生成HSTS标头以强制使用HTTPS连接。免费、安全,直接在浏览器中运行。

预设

基础
max-age=31536000; includeSubDomains
严格
max-age=31536000; includeSubDomains; preload
开发环境
max-age=300
测试环境
max-age=86400

配置

浏览器应记住仅使用 HTTPS 的时间(秒)

安全级别

您的 HSTS 配置提供了强大的安全性

生成的响应头

Strict-Transport-Security: max-age=31536000; includeSubDomains

服务器配置

实施步骤

  1. 确保您的网站拥有有效的 SSL/TLS 证书
  2. 使用 HTTPS 测试您的网站,确保所有资源正确加载
  3. 将 HSTS 响应头添加到您的服务器配置中
  4. 重启您的 Web 服务器以应用更改
  5. 使用浏览器开发者工具或在线工具测试响应头
  6. 如果使用预加载,请考虑将您的网站提交到 HSTS 预加载列表

测试工具

浏览器开发者工具
在“网络”标签页中检查响应头
curl 命令
curl -I https://yoursite.com
在线工具
securityheaders.com, ssllabs.com, hstspreload.org

常见问题

证书错误
如果证书无效,浏览器将忽略 HSTS
混合内容
HTTPS 页面上的 HTTP 资源将导致安全警告
max-age 过长
测试期间请从较短的 max-age 开始

使用方法 HSTS(HTTP严格传输安全)生成器

  1. 输入您希望策略缓存的max-age(最大有效期)值。
  2. 选择要包含的任何其他指令,例如preload或includeSubDomains。
  3. 点击“生成”按钮创建您的HSTS标头。
  4. 复制生成的标头并将其应用到您的Web服务器配置中。

功能特点

  • 为任何max-age时长生成符合标准的HSTS标头。
  • 提供关键指令选项,如includeSubDomains和preload。
  • 输出可直接用于服务器配置的精确标头字符串。
  • 无需设置,即时使用,可在任何设备上访问。

适用人群

本工具对于需要实施HSTS标头以强制使用HTTPS并保护其网站免受降级攻击的Web开发人员、系统管理员和安全专业人员至关重要。

为何要生成安全的HSTS标头?

实施正确配置的HSTS(HTTP严格传输安全)标头是一项关键的安全最佳实践,它指示浏览器仅通过HTTPS连接到您的网站,从而防止协议降级和中间人攻击。这确保了用户数据的长期安全,并有助于建立信任。

常见问题

这个HSTS生成器工具是免费的吗?

我的网站信息会被存储或记录吗?

HSTS标头有什么作用?

我可以自定义策略的max-age时长吗?

生成的标头包含preload指令吗?

相关工具