正文HSTS(HTTP Strict Transport Security)通过浏览器记忆站点的 HTTPS 要求,避免明文访问与降级攻击。本文在 Next.js 15 中实现 HSTS 响应头与边缘 HTTPS 强制策略,并说明预加载注意事项。一、中间件设置 HSTS 与可选重定向import { NextRequest, NextResponse } from 'next/server' export function middleware(req: NextRequest) { const res = NextResponse.next() res.headers.set('Strict-Transport-Security', 'max-age=31536000; includeSubDomains; preload') const proto = req.headers.get('x-forwarded-proto') || '' if (proto && proto !== 'https') { const url = new URL(req.url) url.protocol = 'https:' return NextResponse.redirect(url, 301) } return res } 二、治理要点预加载:在正式环境且所有子域均支持 HTTPS 时才添加 `preload` 并向浏览器预加载列表申请;避免测试环境误加入导致不可访问。子域覆盖:`includeSubDomains` 要求子域全部启用 HTTPS;如存在例外需移除该参数或分域配置。重定向:依赖边缘或网关正确透传 `x-forwarded-proto`;CDN 已处理的场景可仅保留 HSTS 头。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复