HTTP 严格传输安全（HSTS）是一种安全功能，web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯，而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过： Nginx 1.1.19、 Lighttpd 1.4.28 和 Apache 2.2.22 ，环境为 Ubuntu 12.04、 Debi

自从关注了 HTTPS，Linux 中国就成了 HTTPS 的铁杆粉丝了，不但传播了很多 HTTPS 相关的文章，而且身体力行的将 http://linux.cn 也切换到了 https://linux.cn 。非但如此，还激进地配置了 HSTS 策略。 HSTS 是什么？ 如果一个 web 服务器支持 HTTP 访问，并将其重定向到 HTTPS 访问的话，那么访问者在重定向前的初始会话是非加密的

支持 HSTS 比你想象的更容易。 由于服务器管理员没能正确设置 HTTP Strict Transport Security （HSTS），现今大量的 HTTPS 流量都能被轻松劫持。 HSTS 是一个被当前大多数 Web 浏览器所支持的 Web 安全策略，它可以帮助 Web 管理员保护他们的服务器和用户避免遭到 HTTPS 降级、中间人攻击和 Cookie 劫持等 HTTPS 攻击的危害。 9

Apache的HSTS（HTTP Strict Transport Security）功能是一种安全策略，它告知浏览器只通过HTTPS加密协议访问网站，从而防止中间人攻击和窥探。启用HSTS功能可以提高网站的安全性。 要启用Apache的HSTS功能，需要在网站的虚拟主机配置文件中添加以下代码： Header always set Strict-Transport-Security "max-ag