如何使用Nginx配置HSTS（HTTP严格传输安全）？

首先，我们要明白HSTS是什么。HSTS是一种安全策略，它告诉浏览器：“只能用HTTPS来访问我的网站，不要用HTTP哦！”这样，即使有人尝试用不安全的方式（HTTP）来访问网站，浏览器也会自动切换到安全的方式（HTTPS）。

现在，我们来看看如何使用Nginx来配置HSTS。

Nginx配置HSTS的示例代码：

server {  
    listen 80;  
    server_name example.com;  
  
    # 重定向所有HTTP请求到HTTPS  
    return 301 https://$host$request_uri;  
}  
  
server {  
    listen 443 ssl;  
    server_name example.com;  
  
    # SSL证书和其他SSL配置...  
  
    # 添加HSTS头部  
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";  
  
    # 其他配置...  
}

这个配置做了什么呢？

1. 重定向HTTP请求到HTTPS：在第一个server块中，我们监听80端口（HTTP的默认端口），然后使用return 301 https://$host$request_uri;指令将所有HTTP请求重定向到HTTPS。这样，如果用户尝试用HTTP访问网站，他们会被自动重定向到HTTPS。
2. 添加HSTS头部：在第二个server块中，我们监听443端口（HTTPS的默认端口），并使用add_header指令添加一个名为Strict-Transport-Security的头部。这个头部告诉浏览器：“在接下来的31536000秒（也就是1年）内，只能用HTTPS来访问这个网站，而且也包括它的所有子域名。另外，如果你支持的话，请把这个策略预加载到你的缓存里。”

Strict-Transport-Security

头部的参数解释：

• max-age=31536000：表示这个HSTS策略的有效期是31536000秒（1年）。在这段时间内，浏览器会自动使用HTTPS来访问网站。
• includeSubDomains：表示这个HSTS策略也适用于网站的所有子域名。
• preload：是一个可选的参数，它告诉浏览器：“如果你支持的话，请把这个HSTS策略预加载到你的缓存里。”这样，即使用户第一次访问网站时没有用HTTPS，浏览器也会知道应该使用HTTPS。

通过这个配置，我们可以确保用户总是通过安全的方式（HTTPS）来访问我们的网站，从而提高网站的安全性。