HSTS是否开启

是否在 CDN 上开启 HSTS？

以下是建议：

开启 HSTS 的场景

• 网站已完全支持 HTTPS：你的 CDN、源服务器和所有子域名都已配置有效的 SSL 证书，且没有 HTTP 依赖。

• 高安全性需求：例如，涉及用户敏感数据的网站（如电商、银行、登录系统）。

• CDN 支持灵活配置：你的 CDN 允许轻松调整 HSTS 参数（如 max-age）或禁用。

• SEO 和用户体验优先：希望通过 HTTPS 和 HSTS 提升搜索引擎排名和用户信任。

不开启 HSTS 的场景

• 混合内容问题：网站仍有 HTTP 资源（如图片、脚本）或部分子域名不支持 HTTPS。

• 开发/测试环境：HSTS 会干扰调试，建议在非生产环境中关闭。

• SSL 配置不稳定：如果 CDN 或后端服务器的 SSL 证书可能过期或配置不一致，HSTS 可能导致网站不可用。

• 低安全性需求：仅提供静态内容（如博客、文档），没有敏感数据。