HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本，不需要用户手动在URL地址栏中输入加密地址，以减少会话劫持风险。

HSTS响应头格式

Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload]

max-age，单位是秒，用来告诉浏览器在指定时间内，这个网站必须通过HTTPS协议来访问。也就是对于这个网站的HTTP地址，浏览器需要先在本地替换为HTTPS之后再发送请求。ssl证书申请可以在蔚可云申请。

includeSubDomains，可选参数，如果指定这个参数，表明这个网站所有子域名也必须通过HTTPS协议来访问。

preload，可选参数，一个浏览器内置的使用HTTPS的域名列表。

如何设置 HSTS 头字段

方法一：通过源程序实现/万能实现方式：

# 技术人员可以通过改写 php/aspx/java 程序，增加一个 HTTP 头应答字段：

Strict-Transport-Security: max-age=31536000; includeSubdomains; preload

方法二：面向 Nginx 源服务器：

# 在配置站点域名的地方添加一行

add_header Strict-Transport-Security “max-age=31536000; includeSubdomains; preload”;

方法三：面向 Apache2 源服务器：

# 确保加载/启动一个模块

LoadModule headers_module modules/mod_headers.so# 在配置站点域名的地方添加一行

Header always set Strict-Transport-Security “max-age=31536000; includeSubdomains; preload”

越来越多站点将HTTP协议升级为HTTPS协议，而SSL证书是升级HTTPS最流行的解决方案。SSL证书是HTTPS加密协议必备条件，是网络安全传输的加密通道。