你網站有https後這樣還不夠，大家還是希望要把http的連線都倒到https並且要在header上宣告才行

所以就有了HTTP強制安全傳輸技術(HSTS)

HSTS技術就是讓瀏覽器瀏覽網站時，強制使用HTTPS進行連線傳輸，因為HTTPS有SSL的關係，所以可以減少Client和Server連線時被攻擊的可能性，增加網站傳輸的安全性，而當網站開啟HSTS之後，瀏覽器在收到一個HTTP網站的載入請求時，就會自動轉換成HTTPS的方式載入，即使後來SSL失效，導致HTTPS無法使用，使用者也無法繼續瀏覽。

首先你需要在你的apache開啟的mod_headers模組(應該是在httpd.conf內)，改好的話記得要重開

然後我是採用最簡單的方式，就是直接把設定寫在.htaccess內

	<IfModule mod_headers.c>
	    Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
	</IfModule>
	RewriteEngine On
	RewriteCond %{SERVER_PORT} 80
	RewriteRule ^(.*)$ https://aaa.davidou.org/$1 [R,L]

這樣就搞定拉

你可以在這網站 Check if HSTS is enabled – Geekflare Tools 上面測試一下有沒有過關

話說geekflare.com 其實還有不少的檢測tool可以用，到是不錯