Apache 設定 HSTS Header

HSTS Header 主要是告訴瀏覽器，這個頁面要用 HTTPS 來連結，這是網站安全性的問題。

HTTP Strict-Transport-Security 回應標頭（簡稱為 HSTS (en-US)）告知瀏覽器應強制使用HTTPS以取代HTTP。

HSTS Header 相關語法參考：Strict-Transport-Security

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; preload

要在 Apache 伺服器上設置 HSTS Header，步驟如下。

#開啟 apache headers 模組
sudo a2enmod headers

#重新啟動 apache
sudo service apache2 restart

#/etc/apache2/conf-available/security.conf ，加上 header 設定
Header always set Strict-Transport-Security "max-age=31536000;includeSubdomains; preload"

#重新開啟 apache 
sudo service apache2 restart

#成功設定，可以試著用瀏覽器看一下 response headers 有沒有多了 Strict-Transport-Security: max-age=31536000;includeSubdomains; preload

參考：
apache 設定 HSTS ( HTTP Strict Transport Security )