HSTS 严格传输安全：preload 列表与部署要点

概述 HSTS 要求浏览器在指定时间只通过 HTTPS 访问站点，防止降级与中间人攻击。可将站点提交到 preload 列表以在首次访问前强制 HTTPS。 示例与部署 ``` Strict-Transport-Security: max-age=31536000; includeSubDomains; preload ``` 工程建议 - 审核域名：确保所有子域都支持 HTTPS 后再启用 `includeSubDomains` 与 `preload`。 - 风险与回退：错误配置可能导致长期不可访问；变更需谨慎与灰度。 - 监控与合规：记录失败率与证书问题；结合 HSTS 报告与安全策略。 参考与验证 - RFC 6797 HSTS 规范：https://www.rfc-editor.org/rfc/rfc6797 - Chromium HSTS preload 文档：https://hstspreload.org/ - MDN Strict-Transport-Security 文档：https://developer.mozilla.org/docs/Web/HTTP/Headers/Strict-Transport-Security