HSTS 与预加载：全站 HTTPS 的防护与部署

# 概述 HSTS 告诉浏览器仅用 HTTPS 访问站点并自动升级 HTTP。首次访问前不生效，存在初始请求被劫持的风险；通过预加载列表可在浏览器侧强制全站 HTTPS。 # 部署要点 - 响应头：`Strict-Transport-Security: max-age=31536000; includeSubDomains; preload`（预加载需至少一年并包含子域）［参考3］。 - 预加载：按指南提交至 `hstspreload.org`，通过后浏览器内置列表强制 HTTPS，缓解首次访问风险［参考1,2,3,4］。 - 风险与回滚：预加载不可轻易撤销，需审慎确认子域与 HTTPS 覆盖；建议先逐步提高 `max-age` 再提交［参考2,3,4,5］。 # 参考与验证 - ［参考1］MDN：Strict-Transport-Security 说明与预加载弱点与缓解：https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Strict-Transport-Security - ［参考2］HSTS Preload 官方提交站点与要求：https://hstspreload.org/ - ［参考3］MDN 中文：Strict-Transport-Security 用法与预加载条件（一年与子域）：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Strict-Transport-Security - ［参考4］MDN：安全与预加载列表说明（各浏览器采用）：https://devdoc.net/web/developer.mozilla.org/en-US/docs/Security/HTTP_Strict_Transport_Security.html - ［参考5］StackOverflow：`preload` 标记仅为提交意向说明，不自动生效：https://stackoverflow.com/questions/71377849/hsts-preload-meaning # 关键词校验 关键词围绕 HSTS/预加载与部署，与正文一致。