---

title: HSTS 与预加载：全站 HTTPS 的防护与部署

keywords:

• HSTS
• 预加载
• Strict-Transport-Security
• includeSubDomains
• preload
• HTTPS

description: 介绍 HSTS 的工作原理与弱点，解释预加载列表的意义与提交要求，并给出部署与回滚注意事项及权威参考。

categories:

• 文章资讯
• 编程技术

---

概述

HSTS 告诉浏览器仅用 HTTPS 访问站点并自动升级 HTTP。首次访问前不生效，存在初始请求被劫持的风险；通过预加载列表可在浏览器侧强制全站 HTTPS。

部署要点

• 响应头：Strict-Transport-Security: max-age=31536000; includeSubDomains; preload（预加载需至少一年并包含子域）［参考3］。
• 预加载：按指南提交至 hstspreload.org，通过后浏览器内置列表强制 HTTPS，缓解首次访问风险［参考1,2,3,4］。
• 风险与回滚：预加载不可轻易撤销，需审慎确认子域与 HTTPS 覆盖；建议先逐步提高 max-age 再提交［参考2,3,4,5］。

参考与验证

• ［参考1］MDN：Strict-Transport-Security 说明与预加载弱点与缓解：https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Strict-Transport-Security
• ［参考2］HSTS Preload 官方提交站点与要求：https://hstspreload.org/
• ［参考3］MDN 中文：Strict-Transport-Security 用法与预加载条件（一年与子域）：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Strict-Transport-Security
• ［参考4］MDN：安全与预加载列表说明（各浏览器采用）：https://devdoc.net/web/developer.mozilla.org/en-US/docs/Security/HTTP_Strict_Transport_Security.html
• ［参考5］StackOverflow：preload 标记仅为提交意向说明，不自动生效：https://stackoverflow.com/questions/71377849/hsts-preload-meaning

关键词校验

关键词围绕 HSTS/预加载与部署，与正文一致。