我想在我的Django设置中实现SECURE_HSTS_SECONDS,以获得更高的安全性--但是Django文档的警告让我有点害怕,所以我想要一些澄清.以下是它所说的:
SECURE_HSTS_SECONDS个
默认值:0
如果设置为非零整数值,则SecurityMiddleware会在所有未设置该值的响应上设置HTTP严格传输安全标头 已经有了.
警告: 如果设置不正确,可能会(在一段时间内)不可逆转地 destruct 您的站点.首先阅读HTTP严格传输安全文档.
要怎么做才能" destruct 我的网站"?我先读了HTTP Strict Transport Security documentation,但这并没有让它变得更清楚.
HTTP Strict Transport Security个
HTTP严格传输安全性允许网站通知浏览器 它永远不应该使用HTTP加载站点,并且应该自动 将所有使用HTTP访问站点的try 转换为HTTPS请求 取而代之的是.它包含在一个HTTP标头中,即严格传输安全, 随资源一起由服务器发回.
换句话说,如果您将SECURE_HSTS_SECONDS值设置为例如518400(6天),您的Web服务器将在客户的浏览器第一次访问您的网站时通知他,将来您的网站将独占访问您的网站超过518400.这适用于整个定义的期间.如果由于任何原因,您不再提供对您的网站的访问超过https次,浏览器将无法再访问您的服务.
因此,您最初应该将此变量设置为一个较低的值(如60S),并确保一切都按预期运行,否则可能会阻止您和您的客户访问您的站点.
适当尊重
HSTS标头的浏览器将拒绝允许 用户绕过警告并连接到已过期的站点, 自签名或其他无效的SSL证书.如果您使用HSTS, 确保您的证书完好无损,并保持原样! Source个