Apache 設定 HSTS Header

HSTS Header 主要是告訴瀏覽器,這個頁面要用 HTTPS 來連結,這是網站安全性的問題。

HTTP Strict-Transport-Security 回應標頭(簡稱為 HSTS (en-US))告知瀏覽器應強制使用HTTPS以取代HTTP。

HSTS Header 相關語法參考:Strict-Transport-Security

Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; preload

要在 Apache 伺服器上設置 HSTS Header,步驟如下。

#開啟 apache headers 模組
sudo a2enmod headers

#重新啟動 apache
sudo service apache2 restart

#/etc/apache2/conf-available/security.conf ,加上 header 設定
Header always set Strict-Transport-Security "max-age=31536000;includeSubdomains; preload"

#重新開啟 apache 
sudo service apache2 restart

#成功設定,可以試著用瀏覽器看一下 response headers 有沒有多了 Strict-Transport-Security: max-age=31536000;includeSubdomains; preload

參考:
apache 設定 HSTS ( HTTP Strict Transport Security )