1. 前言

前面我们提供了Apache、Nginx下的配置教程。但是在SSL配置中有一个问题需要注意！

 2. Apache、Nginx下HSTS代码

Apache:

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Header always set X-Frame-Options DENY

Header always set X-Content-Type-Options nosniff

Nginx:

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 

3. 注意的问题

那就是HSTS的问题：

优势：开启HSTS后，安全评分可以达到A+

弊端：开启HSTS后，很长时间就不能换回HTTP了，同时需要全站开启HTTPS 

4. 说明

开启HSTS 配置，这个对评分影响也比较大，开启这个需要全站开启 HTTPS ，同时也有弊端，开启 HSTS 后，很长时间就不能换回 HTTP 了，max-age后面的数字即表示时间 单位：秒 (15768000 seconds = 6 months)（我的教程中，这个时间我是缩短了一下的，大概两个多月的样子） 

5. 结束

这个问题就各取所需了，有些人可能一直开https，这也是全民上ssl的一个趋势吧！如果一直开上ssl且并不打算换回http，就不用担心这些问题了！但是如果你已经在用很久的http，又想尝试https，可以在配置的时候就考虑不要加上HSTS配置！