你網站有https後這樣還不夠,大家還是希望要把http的連線都倒到https並且要在header上宣告才行
所以就有了HTTP強制安全傳輸技術(HSTS)
HSTS技術就是讓瀏覽器瀏覽網站時,強制使用HTTPS進行連線傳輸,因為HTTPS有SSL的關係,所以可以減少Client和Server連線時被攻擊的可能性,增加網站傳輸的安全性,而當網站開啟HSTS之後,瀏覽器在收到一個HTTP網站的載入請求時,就會自動轉換成HTTPS的方式載入,即使後來SSL失效,導致HTTPS無法使用,使用者也無法繼續瀏覽。
首先你需要在你的apache開啟的mod_headers模組(應該是在httpd.conf內),改好的話記得要重開
然後我是採用最簡單的方式,就是直接把設定寫在.htaccess內
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
</IfModule>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://aaa.davidou.org/$1 [R,L]
這樣就搞定拉
你可以在這網站 Check if HSTS is enabled – Geekflare Tools 上面測試一下有沒有過關
話說geekflare.com 其實還有不少的檢測tool可以用,到是不錯