开启宝塔HSTS安全传输设置方法

本文详解了在宝塔面板中正确启用HSTS（HTTP严格传输安全）的关键要点与常见陷阱，强调HSTS绝非简单添加一行配置即可生效：必须确保所有响应出口（包括主server块、每个location块及反向代理规则）都完整注入Strict-Transport-Security响应头，否则浏览器将无法接收并启用该安全策略；同时深入剖析了Nginx版本差异对add_header语法的影响、反向代理场景下需手动填写HTTP头的特殊操作，以及max-age、includeSubDomains、preload三个参数背后不容忽视的实际风险——从长达一年的强制HTTPS锁定、子域名证书失效导致全站白屏，到preload提交后不可逆的预加载绑定，每一步都关乎网站可用性与安全性。对于运维人员而言，这不仅是一份配置指南，更是一份规避线上事故的实战避坑手册。

HSTS 不能只在主配置里加一行就完事，必须覆盖所有可能的响应出口，否则浏览器收不到，等于没开。

宝塔 Nginx 版本决定 add_header 写法

先查版本：nginx -v。如果显示 ≥ 1.7.5（比如 1.24.0），直接在「网站设置 → 配置文件」的 server 块末尾加：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

如果版本较老（如 CentOS 7 默认的 1.12.2），always 参数不被支持，且 Nginx 会忽略 location 块外的 add_header —— 你得手动进每个 location 块补：

• location /
• location ~ \.php$
• location ^~ /static/（或你自定义的静态路径）

每个里面都加一行（不含 always）：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

反向代理场景下 HSTS 容易漏配

如果你用了宝塔的「反向代理」功能，它会自动生成一个独立的 location 块，比如：

location ^~ /api/ { proxy_pass https://127.0.0.1:8080/; ... }

这个块默认不继承 server 级的 add_header，而且宝塔界面里没有地方让你直接编辑它的响应头。正确做法是：

• 点该反向代理规则右侧的「配置」按钮
• 在弹出框中找到「发送响应头」区域
• 手动填入：Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

注意：这里填的是完整 HTTP 头格式（冒号分隔），不是 Nginx 的 add_header 语法。

max-age、includeSubDomains、preload 这三个参数的真实代价

它们不是“越全越好”，而是上线前必须想清楚后果：

• max-age=31536000（1 年）一旦生效，用户浏览器就会强制 HTTPS 一整年——证书过期、临时切 HTTP 调试、甚至误配导致全站 502，用户都会打不开，只能等时间过期或手动清 HSTS 缓存（Chrome 访问 chrome://net-internals/#hsts）
• includeSubDomains 会让 api.example.com、cdn.example.com 全部强制 HTTPS，前提是这些子域也配置了有效证书；否则整个主域名都会变白屏
• preload 是把域名提交进浏览器预加载列表，意味着哪怕用户第一次访问，也会强制跳 HTTPS——但提交后无法撤回，且审核周期长，建议先去掉这个参数跑满 6 个月再说

上线初期更稳妥的写法是：max-age=31536000; includeSubDomains，不带 preload，等稳定后再评估是否加入。

真正容易被忽略的，是反向代理和 location 分块带来的响应头隔离问题——很多故障不是配置错了，而是压根没送到浏览器手里。

到这里，我们也就讲完了《开启宝塔HSTS安全传输设置方法》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！