Nginx启用HSTS并附配置实例

HTTP Strict Transport Security (HSTS) 是 Web 安全领域的一个重要特性，它通过强制客户端（如浏览器）与服务器之间的通信始终使用 HTTPS，从而增强网站的安全性。当一个支持 HSTS 的网站被访问时，用户的浏览器会自动将所有后续的请求升级为 HTTPS，即使用户在 URL 中输入了 HTTP 版本的地址。这样做可以有效防止中间人攻击和 SSL 剥离攻击等常见网络威胁。

问题分析

在没有启用 HSTS 的情况下，如果用户第一次是通过安全的 HTTPS 连接访问你的网站，但之后他们手动在地址栏中输入 HTTP 版本的网址或者点击了一个未加密的链接，那么他们的信息可能会受到窃听或篡改的风险。此外，首次访问网站时，由于浏览器没有预加载 HSTS 记录，因此需要经过一次完整的握手过程来建立 HTTPS 连接，这可能导致一些延迟和不必要的开销。

解决方案

为了解决这些问题，我们可以通过在 Nginx 配置文件中添加特定的指令来实现对 HSTS 的支持。以下是具体步骤和相应的配置示例：

1. 确保你的网站已经启用了 HTTPS
   首先，你需要确保你的网站已经在使用 HTTPS 协议进行通信。如果没有，请先按照相关指南在你的 Nginx 配置中启用 HTTPS。
2. 设置 HSTS Header
   在 Nginx 配置中，你可以使用 add_header 指令来向响应头中添加 HSTS 相关的字段。以下是一个简单的例子：

server {
    listen       443 ssl;
    ssl          on;
    server_name  example.com;

    # ... other SSL configuration ...

    location / {
        root         /usr/share/nginx/html;
        index        index.html index.htm;

        # Add the following line to enable HSTS:
        add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";
    }
}

在这个例子中，我们设置了 HSTS header，其值为 max-age=31536000; includeSubdomains。这意味着一旦浏览器接收到这个头部字段，在未来的一年内（即 max-age 指定的秒数），该域名及其子域名的所有请求都将被强制以 HTTPS 方式进行。同时，includeSubdomains 参数表示 HSTS 将适用于当前域名的所有子域。

3. 可选：预加载 HSTS
   如果你希望你的网站能够被列入 Chrome 等浏览器的 HSTS 预加载列表中，那么你需要满足一定的条件并在互联网工程任务组（IETF）的网站上提交申请。如果你的网站被成功预加载，那么全球范围内的用户在第一次访问时就会直接进入 HTTPS 模式，而不需要等待 HSTS header 的指示。

代码示例

下面是完整的 Nginx 配置片段，包含了基本的 HTTPS 和 HSTS 配置：

http {
    # ... other http directives ...

    server {
        listen       443 ssl http2;
        listen       [::]:443 ssl http2;
        server_name  example.com;

        # Force HTTPS for all connections
        return 301 https://$host$request_uri;

        # ... SSL certificate and key ...

        # Enable HSTS with a max age of one year (31,536,000 seconds)
        add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload" always;

        # ... other server directives ...
    }

    # ... other http servers or locations ...
}

注意：上述配置中的 preload 关键字仅用于表明您希望网站被考虑加入 HSTS 预加载列表。是否会被实际收录取决于多种因素，包括但不限于您的网站的安全性和流行程度。

难点讲解

1. Strict-Transport-Security Header 的值解析

Strict-Transport-Security Header 的值通常由几个部分组成：

• max-age=<seconds>：指定 HSTS 策略的有效期，单位为秒。在此期间，浏览器不会忘记此规则，并且会强制执行 HTTPS。
• includeSubDomains：可选，如果存在，则表示 HSTS 也应用于当前域名的所有子域。
• preload：可选，如果存在，则表示您希望网站被考虑加入到浏览器的预加载名单中。

2. 如何申请 HSTS 预加载？

要申请 HSTS 预加载，你需要遵循 IETF 的指导原则，其中包括满足某些标准，例如网站必须永远使用 HTTPS，且不能有混合内容问题。然后，你需要填写一份在线表格，提供关于你的网站的信息以及为什么应该被预加载的理由。这个过程可能需要几周到几个月的时间才能完成。

总结

通过在 Nginx 中正确地配置 HSTS，你可以显著提高网站的安全性，减少潜在的网络攻击风险。记住，实施 HSTS 后，所有的流量都必须通过 HTTPS 传输，所以确保你已经做好了充分的准备再进行这一步操作。

版权声明：本文为原创文章，版权归 全栈开发技术博客 所有。

本文链接：https://www.lvtao.net/system/nginx-enable-hsts.html

转载时须注明出处及本声明