解决ownCloud的“StrictTransportSecurity” HTTP头部配置问题

在部署或维护ownCloud时，您可能会遇到与HTTP安全头部（特别是“StrictTransportSecurity”， 简称STS或HSTS）相关的问题，这个头部是一个重要的安全特性，用于提高网站的安全性，通过强制客户端（如Web浏览器）仅通过安全的HTTPS连接与服务器通信，如果配置不当，可能会导致安全问题或者访问问题，本文将详细解释如何正确配置ownCloud的“StrictTransportSecurity” HTTP头部，确保至少设置为15552000秒（即大约180天）。

理解StrictTransportSecurity (STS)

我们需要理解什么是StrictTransportSecurity，它是一种HTTP头部字段，指示浏览器应仅通过HTTPS连接与服务器通信，并记住这一策略一段时间，这有助于防止中间人攻击和SSL剥离攻击，STS头部通常包含一个以秒为单位的最大年龄值，告诉浏览器应记住该策略多长时间。

ownCloud中的STS配置问题

ownCloud是一个流行的自托管文件共享和协作平台，默认情况下，ownCloud可能没有配置STS头部或配置的值低于推荐的15552000秒，这可能导致安全警告或在某些浏览器中无法加载页面。

解决方案步骤

1、检查当前的STS配置：

使用开发者工具或专用的HTTP头部检查工具查看ownCloud服务器的响应。

注意StrictTransportSecurity头部的值，如果没有设置或值过低，需要进行调整。

2、修改ownCloud配置文件：

找到并编辑ownCloud的配置文件，通常是config/config.php。

在该文件中，您可以设置'overwritehost' => 'https://yourdomain.tld'来确保所有链接都使用HTTPS。

对于STS，您可以在配置文件中添加或修改'stricttransportsecurity'的设置，

“`php

$CONFIG = array(

// … 其他配置 …

‘stricttransportsecurity’ => ‘maxage=15552000; includeSubDomains; preload’,

);

“`

3、重启ownCloud服务：

修改配置文件后，需要重启ownCloud服务以使更改生效。

根据您服务器的配置，这可能涉及重启Web服务器（如Apache, Nginx）或PHPFPM进程。

4、验证更改：

再次使用HTTP头部检查工具验证STS头部是否已正确设置。

确保最大年龄值为15552000秒，并且包括了includeSubDomains和preload指令。

常见问题解答FAQs

Q1: 如果我没有直接访问配置文件的权限怎么办？

A1: 如果您使用的是共享主机或云服务，可能需要通过控制面板或服务提供者的界面来配置STS，联系您的服务提供商获取具体的指导。

Q2: 更改STS设置后，旧的非安全连接会怎样？

A2: 一旦设置了STS，浏览器将在指定的最大年龄时间内强制使用HTTPS连接，对于已经打开的非安全连接，浏览器可能会警告用户连接不安全，并建议切换到安全的HTTPS版本。

通过上述步骤，您可以确保ownCloud的“StrictTransportSecurity” HTTP头部被正确配置，从而提高平台的安全性，这不仅有助于保护用户数据，也符合现代Web安全的最佳实践。