HSTS

HSTS = HTTP Strict Transport Security

作用：强制浏览器永远用 HTTPS 访问你的网站，禁止降级到 HTTP，防止被劫持、跳转到不安全链接。

一句话理解

• 平时：用户输 example.com，默认先走 HTTP，再跳 HTTPS，这一步可能被劫持。
• 开 HSTS：浏览器记住「这个网站只能用 HTTPS」，下次直接 HTTPS，不经过 HTTP。

核心效果

1. 杜绝 HTTP → HTTPS 跳转时被劫持
2. 防止不小心访问到 http 版本
3. 提高安全评级，对 SEO / 浏览器信任也友好

典型配置（Nginx 示例）

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

• max-age=31536000：记住 1 年
• includeSubDomains：子域名也强制 HTTPS