logo
GeekFormat

HSTS 分析器

Strict-Transport-Security 分析器

分析 HSTS max-age、includeSubDomains 和 preload 組合是否滿足瀏覽器和 preload 列表的要求。

解析摘要

max-age
365d 0h
includeSubDomains
Yes
preload
Yes
Directive Count
3
HSTS 結構似乎沒有明顯錯誤

建構器

max-age=31536000; includeSubDomains; preload

JSON 預覽

{
  "directives": [
    {
      "key": "max-age",
      "value": "31536000"
    },
    {
      "key": "includesubdomains",
      "value": null
    },
    {
      "key": "preload",
      "value": null
    }
  ],
  "maxAgeSeconds": 31536000,
  "includeSubDomains": true,
  "preload": true,
  "warnings": []
}

線上看 HSTS,先判斷 HTTPS 強制策略配得穩不穩。

相關推薦

適用場景

  • 準備全站強制 HTTPS 時,先確認 HSTS 時長和子域策略是否適合目前環境
  • 安全整改時透過產生器設定合理的 max-age 值並勾選 includeSubDomains
  • 申請 HSTS preload 前自檢設定是否包含 preload 指令滿足瀏覽器要求
  • 排查 HTTPS 降級存取問題時確認 HSTS 回應標頭是否正確回傳並解析各指令

功能特點

  • 關鍵指令拆得明白:時長、子域覆蓋、preload 條件不再混著看
  • 強制 HTTPS 前先自檢:避免一上來就把錯誤設定放大到全站
  • 預載入前自檢:幫助提前判斷 HSTS 標頭是否接近 preload 要求
  • 快速理解設定:結果直觀展示,方便開發、維運和安全團隊協作處理

使用方法

  1. 貼上 HSTS 回應標頭內容到解析區,或使用產生器填寫 max-age 秒數並勾選選項
  2. 解析模式下查看 max-age(可讀時長)、includeSubDomains、preload 和警告訊息
  3. 產生模式下設定 max-age 秒數、勾選 includeSubDomains 和 preload 選項
  4. 複製產生的 HSTS 內容用於伺服器設定或覆蓋輸入區內容繼續除錯

常見問題

HSTS 是做什麼用的?

HSTS 是告訴瀏覽器以後只用 HTTPS 存取這個站點,用來減少降級存取和中间人攻擊,但在策略沒想清楚前也不適合盲目拉滿。

max-age、includeSubDomains 和 preload 分別代表什麼?

max-age 表示 HSTS 生效時長,includeSubDomains 表示對子網域也生效,preload 則與瀏覽器預載入清單相關。工具可幫助您逐項拆解。

適合檢查網站是否滿足 HSTS preload 要求嗎?

適合。它可以幫助您查看核心欄位是否齊全,便於預評估是否具備進入預載入清單的基礎條件。

上線前為什麼要檢查 HSTS?

如果設定不當,可能導致 HTTPS 策略過鬆或過嚴。上線前解析一遍,能更早發現欄位遺失、值不合理或子網域覆蓋不完整的問題。