apache - 使用 htaccess 或 httpd.conf 将 hsts 标头放入 apache

Question

我最近购买了一个 ssl 证书，并以安全的 https 方式重定向了我的所有流量，但我想包含在 hsts 预加载列表中。出于这个原因，我想包含 hsts 标头。有没有使用 .htaccess 或 httpd.conf 的方法，或者如果有其他方法，请详细告诉我

Answer 1

您可以在 .htaccess 文件中设置 hsts 标头：

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS

@see How to set HSTS header from .htaccess only on HTTPS了解更多信息

或使用 php：

header('Strict-Transport-Security: max-age=63072000; includeSubdomains; preload');

Answer 2

您也可以将 HSTS 标头放在应用程序端，我的意思是 PHP。在 header.php 或 index.php 顶部添加以下代码

<?php header("strict-transport-security: max-age=600");

使用共享主机的人无权访问 apache.conf。所以正确的方法是把它放在 apache.conf 上。