Enable HTTP Strict Transport Security

预计阅读时间:1分钟

此功能将根据RFC 6797将所需的HTTP Strict Transport Security标头添加到请求中.

HSTS策略标头在不安全的HTTP连接上将被忽略. 为了使HSTS生效,应通过安全(https)连接提供该服务.

当浏览器收到HSTS策略标头时,它将在给定的时间内不再尝试使用不安全的连接连接到服务器.

此功能在io.ktor.features.HSTS类中io.ktor.features.HSTS ,不需要其他工件.

Usage

fun Application.main() {
  // ...
  install(HSTS) 
  // ...
}

上面的代码以默认配置安装HSTS.

Configuration

  • maxAge (默认为1年):告诉客户端将主机保留在已知HSTS主机列表中的持续时间
  • includeSubDomains (默认为true):添加includeSubDomains指令,该指令将此策略应用于此域和任何子域
  • preload (默认为false):同意该策略允许将域包含在Web浏览器的预加载列表中
  • customDirectives (默认为空):特定用户代理支持的任何自定义指令

by  ICOPY.SITE