HSTS，即HTTP严格传输安全，是由互联网工程任务组发布的一套互联网安全策略机制。其核心作用是强制浏览器仅通过HTTPS与网站进行通信，从而降低会话劫持等安全风险。接下来，我们将详细介绍在Safari中启用这一策略的配置方法。

一、为什么要在Safari中启用HSTS策略

HSTS策略具有多方面的优势，对于Safari用户而言，启用该策略能够显著增强网络浏览的安全性。它可以有效抵御SSL剥离攻击，这是中间人攻击的一种常见形式。在正常情况下，若用户访问支持HTTPS的网站，当链接被恶意替换为HTTP时，攻击者就有可能实施SSL剥离攻击，窃取用户数据。但启用HSTS策略后，只要浏览器与服务器建立过一次安全连接，后续浏览器便会始终强制使用HTTPS进行通信，即便链接被篡改，也能保障通信安全。

同时，HSTS还解决了自签名证书带来的安全隐患。当中间人使用自签名证书进行攻击时，多数浏览器虽会给出警告，但部分用户往往会忽视。而一旦服务器发送了HSTS字段，用户将无法再忽略此类警告，从根本上杜绝了因用户疏忽而导致的安全风险。

二、Safari对HSTS策略的支持情况

Safari浏览器对HSTS策略提供了良好的支持。无论是在桌面端的Mac系统，还是移动端的iOS和iPadOS系统上，Safari均可实现HSTS策略的配置与生效。这意味着，广大苹果设备用户能够便捷地借助HSTS策略，为自身网络浏览保驾护航。

三、具体配置步骤

1. 服务器端配置（网站管理员操作）

（1）选择合适的服务器软件：若您是网站管理员，首先要确定服务器所使用的软件，常见的如 Nginx、Apache、Caddy、Lighttpd等，不同软件的配置方式略有差异。

（2）配置HSTS头信息：

• Nginx服务器：在服务器配置文件中，找到对应的服务器块（server block），添加如下代码：

1    add_header strict - transport - security "max - age = 31536000 ; includesubdomains";

其中，max - age指定了HSTS策略的有效期，单位为秒，这里设置为一年（31536000 秒）。includesubdomains表示该策略同时应用于主域名及其所有子域名。配置完成后，保存并关闭配置文件，然后重启Nginx服务以使配置生效，命令如下：

1    systemctl restart nginx

• Apache服务器：在虚拟主机配置文件中，找到期望启用HSTS的虚拟主机块，添加以下代码：

1    Header always set strict - transport - security "max - age = 31536000 ; includesubdomains"

同样，设置好有效期和子域名应用范围后，保存文件。若之前未启用headers模块，还需先启用该模块，然后重启Apache服务来应用更改，命令如下：

1    systemctl restart apache2

• Caddy服务器：使用文本编辑器打开Caddyfile文件，添加如下内容即可启用HSTS：

1    # 此处添加 HSTS 相关配置

保存文件后，重启Caddy服务：

1    systemctl restart caddy

• Lighttpd服务器：打开Lighttpd的配置文件，通常位于/etc/lighttpd/lighttpd.conf，在服务器配置部分添加以下代码：

1    setenv.add - response - header = ("strict - transport - security" => "max - age = 31536000 ; includesubdomains")

保存并关闭文件，重启Lighttpd服务以应用配置更改：

1    systemctl restart lighttpd

（3）考虑预加载：若想让首次访问网站的用户也能立即应用HSTS策略，可以考虑将网站添加到浏览器的HSTS预加载列表中。以Really Simple SSL插件为例，在插件中选择 “预加载” 选项后，前往hstspreload.org网站，按照指引将自己的域名添加到浏览器列表中。不过，需要注意的是，加入预加载列表相对容易，但后续若因某些原因需要回退到HTTP，只有当域名从预加载列表中移除，或者网站重新恢复HTTPS访问后，才能正常访问。因此，在操作前需谨慎评估。

2. 客户端配置（Safari用户操作）

• Mac系统上的Safari：在Mac设备上打开Safari浏览器，点击菜单栏中的 “Safari” 选项，选择 “设置”。在弹出的设置窗口中，点击 “安全” 标签。在这里，虽然没有直接启用HSTS的开关，但只要服务器端正确配置了HSTS策略，当您访问支持HSTS的网站时，Safari会自动遵循该策略，保障您的浏览安全。
• iOS和iPadOS系统上的Safari：在iOS或iPadOS设备上，打开Safari浏览器，进入设置界面。同样，这里没有专门针对HSTS的独立设置项。当设备访问配置了HSTS策略的网站时，系统会自动识别并应用该策略，无需用户手动干预。

四、配置后的验证与检查

1. 检查服务器响应头：配置完成后，可借助工具如Chrome浏览器的开发者工具、在线HTTP头检查工具等，来验证服务器是否正确发送了HSTS头信息。以Chrome浏览器为例，打开网站后，右键点击页面，选择 “检查”，在开发者工具中切换到 “网络” 标签，刷新页面，然后在请求列表中找到网站的请求，查看响应头中是否包含 “strict - transport - security” 字段，以及该字段的值是否与配置一致。

2. 测试HSTS策略效果：尝试将网站链接中的 “https” 改为 “http”，若配置生效，浏览器应自动将链接重定向为 “https”，并保持安全连接状态。同时，可使用不同设备和浏览器进行测试，确保HSTS策略在各个环境下均能正常工作。

在Safari中启用SSL证书的HSTS策略，能够有效提升网络浏览的安全性，无论是对于网站管理员保障用户数据安全，还是用户自身防范网络攻击，都具有重要意义。按照上述步骤进行配置和验证，即可轻松享受HSTS策略带来的安全防护。

Dogssl.com拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!