HTTPS 與 HSTS(強制 HTTPS)
別稱 HSTS · Strict-Transport-Security · 安全傳輸
以 HTTPS 提供每個頁面可加密流量,而 HSTS 回應標頭則強制瀏覽器之後對該網域的所有請求都使用 HTTPS。
這是什麼
HTTPS 就是建立在 TLS 之上的 HTTP,能加密並驗證瀏覽器與伺服器之間的連線。HTTP Strict Transport Security(HSTS)是一個 Strict-Transport-Security 回應標頭,會告訴瀏覽器在設定的 max-age 期間內只能以 HTTPS 連線,藉此防止協定降級與 SSL stripping 攻擊。
為什麼重要
HTTPS 是基本的排名與信任訊號,瀏覽器會把非 HTTPS 頁面標示為「不安全」,這會嚇退使用者與爬蟲。AI 爬蟲與答案引擎偏好安全、正規的 HTTPS 網址,因此一致的 HTTPS 加上 HSTS 能同時保護你的排名,以及你的網址被引用的方式。
如何檢查
載入網站,確認有鎖頭圖示與 https:// 網址,接著在 DevTools 的 Network 分頁檢查回應標頭,確認 Strict-Transport-Security 帶有 max-age。SSL Labs 或 securityheaders.com 等工具會回報憑證有效性,以及 HSTS 是否正確設定。
如何修正
安裝有效的 TLS 憑證,將所有 HTTP 流量以 301 轉址到 HTTPS,並加上 Strict-Transport-Security 標頭,例如 max-age=31536000; includeSubDomains。確保內部連結與 canonical 都使用 https://,待你確認每個子網域都支援 HTTPS 後,再考慮加入 HSTS preload。
相關詞彙
官方參考資料
外部連結,將於新分頁開啟。
把知識化為行動。
親手逐項完成每一項檢查,並轉成可分享的 GEO Score 報告——或在數秒內自動掃描你的網站。