HSTS预加载与TLS安全响应头治理

# HSTS预加载与TLS安全响应头治理 ## 概览 - HSTS 要求浏览器仅使用 HTTPS 访问域名；预加载将域加入浏览器列表进一步强化。 - 与其它安全头协同构建安全基线。 ## 技术参数（已验证） - HSTS：`Strict-Transport-Security: max-age=31536000; includeSubDomains; preload`；确保 HTTPS 与证书有效。 - 预加载：满足条件后提交至预加载列表（chromium）；谨慎评估影响与回滚策略。 - 相关头：`X-Content-Type-Options: nosniff`、`Referrer-Policy`、`Permissions-Policy` 与 CSP 协同。 - TLS 配置：启用 TLS1.2/1.3 与现代套件；OCSP stapling；维护证书链。 - 观测：记录 HTTPS 命中与失败率；证书到期与错误告警。 ## 实战清单 - 对主域与子域启用 HSTS 与预加载；在灰度与回滚路径下推进。 - 配置安全响应头基线；纳入发布检查与审计。 - 监控证书与 HTTPS 指标；持续维护。