一、核心安全頭的作用

1. X-Content-Type-Options: nosniff

該響應頭用于阻止瀏覽器對資源的 MIME 類型進行 “嗅探”（猜測），強制瀏覽器嚴格遵守服務器返回的 Content-Type 頭部聲明。

風險背景：

瀏覽器默認會對未明確聲明類型的資源（如無 Content-Type 頭的文件）進行 MIME 嗅探，可能將本應作為純文本的惡意腳本（如 .txt 文件包含 <script>）識別為 HTML 或 JavaScript 并執行，導致 XSS 等攻擊。

作用：

啟用后，瀏覽器僅根據 Content-Type 處理資源（如 text/plain 就按純文本顯示，不會解析為 HTML），從根源上避免 MIME 類型混淆攻擊。

2. Strict-Transport-Security (HSTS)

HSTS 是強制客戶端（瀏覽器）僅通過 HTTPS 協議與服務器通信的安全機制，防止 “降級攻擊” 和 “中間人攻擊” 中對 HTTP 連接的劫持。

核心功能：

• 瀏覽器首次通過 HTTPS 訪問帶有 HSTS 頭的網站后，會記錄該網站的 “強制 HTTPS” 狀態。
• 后續訪問該網站時，即使用戶輸入 http:// 或點擊 HTTP 鏈接，瀏覽器也會自動將請求升級為 HTTPS，且不允許用戶跳過 SSL 證書錯誤提示（如自簽名證書警告）。

防御場景：

• 防止攻擊者通過劫持 HTTP 流量（如公共 Wi-Fi 中）將用戶引導至惡意網站。
• 避免因用戶誤輸 http:// 導致的明文傳輸風險。

二、2025 年推薦的 HSTS 配置參數及更新

HSTS 的核心配置參數包括 max-age、includeSubDomains 和 preload，2025 年的推薦配置在安全性和兼容性上進一步優化：

1. 關鍵參數及 2025 年建議值

max-age=<seconds>：指定瀏覽器緩存 HSTS 規則的時間（單位：秒）。

• 2025 年推薦值：max-age=63072000（2 年，即 365×2×24×3600 秒）。
• 更新背景：早期推薦值多為 1 年（31536000 秒），但隨著 HTTPS 普及和證書有效期標準化（如 Let's Encrypt 證書有效期為 90 天，可自動續期），2 年的緩存期既能確保長期強制 HTTPS，又不會因證書更新導致兼容性問題。

includeSubDomains：可選參數，指定 HSTS 規則適用于主域名及所有子域名（如 example.com 及 a.example.com、b.example.com）。

• 推薦啟用：includeSubDomains（除非子域名確實不支持 HTTPS，否則需強制覆蓋，避免子域名成為安全短板）。

preload：可選參數，聲明網站希望加入瀏覽器內置的 HSTS 預加載列表（需單獨提交申請）。

• 推薦按需啟用：preload（適用于全球流量較大、安全性要求高的網站）。

2. 結合 preload 機制提升 HTTPS 安全性

preload 機制是瀏覽器廠商（如 Chrome、Firefox、Edge）共同維護的 “內置 HSTS 列表”，網站可通過申請將域名加入該列表，實現首次訪問即強制 HTTPS（無需等待首次 HTTPS 響應返回 HSTS 頭）。

作用：

解決 HSTS 的 “首次訪問漏洞”—— 若用戶是第一次訪問網站，且首次請求通過 HTTP 發送（未收到 HSTS 頭），仍可能被劫持。加入預加載列表后，瀏覽器在用戶首次訪問前就已知曉 “該域名必須用 HTTPS”，直接攔截 HTTP 請求并升級。

啟用步驟：

1. 服務器配置 HSTS 頭包含 preload 參數（如 Strict-Transport-Security: max-age=63072000; includeSubDomains; preload）。
2. 確保主域名及所有子域名均支持 HTTPS（且證書有效）。
3. 通過 HSTS Preload List 申請頁面 提交域名，經審核后加入列表（通常需數周，且一旦加入，移除需數月時間，需謹慎操作）。

總結

• X-Content-Type-Options: nosniff 阻止 MIME 嗅探，避免類型混淆攻擊；HSTS 強制 HTTPS，防御降級和中間人攻擊。
• 2025 年 HSTS 推薦配置為 max-age=63072000; includeSubDomains; preload（按需），通過延長緩存期和子域名覆蓋增強安全性。
• preload 機制通過瀏覽器內置列表解決首次訪問漏洞，適合高安全性需求的網站，但需確保全域名 HTTPS 兼容性。