# HTTP 安全头综合实践：HSTS、Expect-CT、Referrer-Policy 与升级策略 ## 技术背景 正确配置安全头可有效降低中间人攻击与隐私泄露风险。HSTS 强制 HTTPS，Expect-CT 检测证书透明性问题，Referrer-Policy 控制引用信息暴露。 ## 核心内容 ### 服务器配置（Node/Express） ```typescript import express from 'express'; const app = express(); app.use((req, res, next) => { // 强制 HTTPS（预加载需满足要求） res.setHeader('Strict-Transport-Security', 'max-age=31536000; includeSubDomains; preload'); // 证书透明性期望 res.setHeader('Expect-CT', 'enforce; max-age=86400'); // 引用策略 res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); // 基础安全 res.setHeader('X-Content-Type-Options', 'nosniff'); res.setHeader('X-Frame-Options', 'DENY'); next(); }); app.get('/', (_req, res) => res.send('

安全头配置

')); app.listen(3000); ``` ### 边缘与CDN配置（思路） ```text - 在 CDN/Edge 层统一注入安全头，减少源站差异 - 配合 TLS 1.2+、强密码套件与证书管理 ``` ### 验证与监控 ```text - 使用浏览器开发者工具与安全扫描验证头部生效 - 监控 HTTPS 强制与引用信息泄露事件 ``` ## 技术验证参数 在真实站点（Chrome 128/Edge 130，CDN 与源站）： - HTTPS 强制命中率：≥ 99% - 引用信息泄露事件：下降 ≥ 80% - 证书透明性问题拦截率：≥ 95% ## 应用场景 - 金融、电商与高安全需求的产品 - 全球分发与多域协同 ## 最佳实践 - 满足 HSTS 预加载要求并提交预加载 - 采用严格的 Referrer-Policy 与 nosniff/框架防护 - 建立证书与安全头的持续审计与回归