IIS如何启用HSTS头部配置？

一、HSTS 基本概念与前置条件

HSTS（HTTP Strict Transport Security）是一种安全策略机制，通过在 HTTPS 响应头中添加 Strict-Transport-Security 字段，强制客户端（如浏览器）仅通过加密的 HTTPS 连接与服务器通信。该机制可有效防止中间人攻击（MITM）、SSL剥离等安全威胁。

在 IIS 中启用 HSTS 之前，必须满足以下关键前置条件：

1. 已为站点配置有效的 SSL/TLS 证书；
2. IIS 站点已绑定 HTTPS（端口 443 或其他自定义 HTTPS 端口）；
3. 确保所有 HTTP 请求能正确重定向至 HTTPS（建议使用 URL Rewrite 模块实现）；
4. 确认网站主域及子域均可通过 HTTPS 正常访问。

若未完成上述步骤而直接启用 HSTS，可能导致浏览器缓存策略后无法回退，造成服务不可达。

二、常见配置误区与风险分析

三、通过 web.config 添加 HSTS 响应头（推荐方式）

在 IIS 中最常用的方式是通过 web.config 文件中的 <httpProtocol> 节点添加自定义响应头。以下是标准配置示例：

<configuration>
  <system.webServer>
    <httpProtocol>
      <customHeaders>
        <add name="Strict-Transport-Security" 
             value="max-age=31536000; includeSubDomains; preload" />
      </customHeaders>
    </httpProtocol>
  </system.webServer>
</configuration>

其中各参数含义如下：

• max-age=31536000：表示浏览器应在接下来的一年（以秒为单位）内自动将请求升级为 HTTPS；
• includeSubDomains：指令适用于当前域及其所有子域；
• preload：表明站点申请加入浏览器预加载列表（Chrome、Firefox 等内置），需谨慎使用。

四、结合 URL 重写模块实现安全跳转与 HSTS 同步

为确保用户从 HTTP 访问时能无缝跳转至 HTTPS，并在首次响应中注入 HSTS 头，推荐使用 IIS 的 URL Rewrite 模块进行规则配置：

<system.webServer>
  <rewrite>
    <rules>
      <rule name="Redirect to HTTPS" stopProcessing="true">
        <match url="(.*)" />
        <conditions>
          <add input="{HTTPS}" pattern="^OFF$" />
        </conditions>
        <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" 
                redirectType="Permanent" />
      </rule>
    </rules>
  </rewrite>
</system.webServer>

此规则确保所有非 HTTPS 请求被永久重定向至 HTTPS 地址，从而保障 HSTS 首次响应即可生效。

五、HSTS 部署流程图（Mermaid 格式）

六、验证与调试方法

部署完成后，应通过以下方式验证 HSTS 是否生效：

1. 使用浏览器开发者工具查看响应头是否包含 Strict-Transport-Security；
2. 访问 https://hstspreload.org 检查域名是否符合预加载要求；
3. 利用 curl -I http://yourdomain.com 观察重定向链和最终响应头；
4. 使用 Qualys SSL Labs 的 SSL Server Test 全面评估安全配置；
5. 检查 IIS 日志确认无异常 403/500 错误；
6. 模拟清除浏览器 HSTS 缓存（Chrome: chrome://net-internals/#hsts）进行回归测试；
7. 对子域逐一验证 HTTPS 可达性；
8. 监控 CDN 或反向代理层是否透传 HSTS 头；
9. 定期审计 web.config 配置变更；
10. 建立应急回滚预案（尤其针对 preload 使用场景）。