如何通过QuickQ启用HSTS预加载

本文目录导读：

1. 确认 QuickQ 支持自定义 HTTP 响应头
2. 添加 HSTS 预加载响应头
3. 通过 QuickQ 的“自定义头”功能添加（示例）
4. 验证 HSTS 头是否生效
5. 满足预加载前提（重要！）
6. 提交域名到 HSTS 预加载列表
7. 其他注意事项

通过 QuickQ（假设指某款网络管理或安全工具，如防火墙、路由器或专用安全配置工具）启用 HSTS（HTTP Strict Transport Security）预加载，通常需要手动修改或添加响应头、配置域名，并提交至浏览器预加载列表，以下是通用步骤（具体操作可能因 QuickQ 版本或界面不同略有差异）：

确认 QuickQ 支持自定义 HTTP 响应头

• 登录 QuickQ 管理后台（如 168.x.x 或云端控制台）。
• 寻找 安全设置、HTTP 头管理、Web 安全策略 或 虚拟主机配置 相关菜单。
• QuickQ 是反向代理或 Web 应用防火墙（WAF），需在 转发规则 或 站点配置 中添加自定义头。

添加 HSTS 预加载响应头

在需要启用 HSTS 的域名（如 example.com）的配置中，添加以下响应头：

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

参数说明：

• max-age=63072000：要求浏览器强制 HTTPS 的时间（2年，预加载必须 ≥ 1年，推荐2年）。
• includeSubDomains：覆盖所有子域名（如 blog.example.com、mail.example.com）。
• preload：告知搜索引擎/浏览器预加载本域名（最终需提交给浏览器厂商）。

通过 QuickQ 的“自定义头”功能添加（示例）

• 路径举例：QuickQ → 设置 → Web 保护 → HTTP 头管理 → 添加新规则。
• 填写：
  • 域名：yourdomain.com
  • Header 名称：Strict-Transport-Security
  • Header 值：max-age=63072000; includeSubDomains; preload
• 保存并应用配置。

验证 HSTS 头是否生效

• 使用浏览器或 curl 命令测试：

curl -I https://yourdomain.com

• 查看返回头中是否包含：

  strict-transport-security: max-age=63072000; includeSubDomains; preload

满足预加载前提（重要！）

在提交预加载列表前必须确保：

• 全站 HTTPS（包括所有子域名）。
• 永久重定向（HTTP → HTTPS，状态码 301/308）。
• （所有资源均通过 HTTPS 加载）。
• 所有子域名 也已配置 HSTS（includeSubDomains 生效）。

提交域名到 HSTS 预加载列表

访问 hstspreload.org：

• 输入你的域名（如 yourdomain.com）。
• 检查验证头是否通过（网站会自动检测）。
• 如果成功,点击 “Submit to the preload list” 提交。

其他注意事项

• QuickQ 是纯路由器/防火墙，可能无法直接修改 HTTP 头（需要在其上层服务器（如 Nginx、Apache、Cloudflare）配置），此时可将 QuickQ 设为透明代理，或在 QuickQ 的 “SSL/HTTPS 卸载” 功能中配置。
• 部分 QuickQ 工具（如 QNAP 的 QTS/QuTS hero）内置有 Web 服务器，可在 “应用权限” → “安全” → “HTTP 头” 中设置。

如果以上步骤无法对应你的具体 QuickQ 版本，请提供 QuickQ 产品型号或软件界面截图，以便给出更精准的路径。