HSTS 预加载列表
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
只有在使用有效证书向服务器发出成功的 HTTPS 请求后,才会激活 HSTS。首次使用该用户的用户仍然存在风险,此时可能会发生中间人攻击。
为了在第一次请求之前使站点安全,可以将域添加到已在浏览器中配置的预加载列表中。
浏览器不直接使用 preload
参数,但它向浏览器开发人员表明网站开发人员确实要求将其添加到预加载列表中。