---

title: HSTS预加载与子域治理

keywords:

• HSTS
• preload
• includeSubDomains
• Strict-Transport-Security
• TLS

description: 启用 HSTS 与预加载清单，强制全站 HTTPS 并治理子域覆盖与过渡，降低降级与中间人风险。

categories:

• 文章资讯
• 编程技术

---

HSTS预加载与子域治理

概览

• HSTS 通过响应头强制浏览器仅以 HTTPS 访问站点，防止降级与中间人攻击。
• 预加载清单使浏览器在首访前即将站点视为 HTTPS-only，需谨慎评估子域覆盖。
• 迁移阶段治理重定向与混合内容，确保子域与第三方依赖完全兼容。

技术参数（已验证）

• 响应头：Strict-Transport-Security: max-age=31536000; includeSubDomains; preload；提交预加载需满足强制 HTTPS 与子域覆盖。
• 预加载：在官方清单提交域名并通过验证；撤销需要较长周期并要求全站一致性。
• 兼容：确保所有子域与根域启用有效 TLS；关闭 HTTP 明文端口或重定向到 HTTPS。
• 配置：短期试运行可先不包含 includeSubDomains/preload；稳定后再提交清单。
• 观测：监控证书到期、重定向链与混合内容；建立告警与发布检查。

实战清单

• 先在根域与关键子域启用 HSTS 并验证兼容，再扩大到子域与预加载。
• 完成预加载清单提交与持续审计；在证书与依赖变更时进行回归验证。
• 建立混合内容扫描与重定向检查，持续优化。
• Importance: 提升 HTTPS 覆盖与强制性，降低降级与攻击面。