Strict-Transport-Security响应头缺失nginx 在哪里添加

要添加Strict-Transport-Security响应头，您需要在Nginx配置中添加以下行：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

这将告诉浏览器该网站只能通过HTTPS进行访问，并且HSTS策略将被缓存1年（31536000秒）。"includeSubDomains"参数将HSTS策略应用于所有子域名。"preload"参数将该网站的域名添加到浏览器的HSTS预加载列表中，以进一步增强安全性。

您可以在您的Nginx服务器的配置文件中找到此选项。例如，在Ubuntu上，Nginx的默认配置文件位于/etc/nginx/sites-available/default。在该文件中，您可以在server段中添加上述行。完成后，请重启Nginx以使更改生效。

相关问题

nginx Strict-Transport-Security响应头缺失

如果nginx服务器缺少Strict-Transport-Security（STS）响应头，则可能存在安全风险，因为这可以防止中间人攻击（MITM）和SSL剥离攻击。

要添加STS响应头，请在nginx配置文件中添加以下行：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

这将在响应头中添加Strict-Transport-Security，并将其设置为最大年龄为一年，并包括所有子域和预加载。可以根据需要更改max-age值。

在添加响应头之前，请确保您的网站使用HTTPS协议，否则将无法使用STS响应头。

Nginx 的strict-transport-security

（缩写为HSTS）是什么？它有什么作用？

Strict-Transport-Security（STS）是一种安全策略机制，可确保浏览器始终通过HTTPS安全连接访问网站。当服务端启用HSTS机制后，浏览器将会强制使用HTTPS与该网站保持通讯一段时间，通常为90天。这可以减少中间人攻击（Man-in-the-middle-attacks）风险、防止Cookie劫持攻击并提高用户浏览器的安全性。当浏览器第一次访问该网站时，服务端将可在HTTP响应头中传递Strict-Transport-Security头信息，来通知浏览器使用HTTPS连接该站点。