示例

Strict-Transport-Security: max-age=31536000; includeSubDomains

Strict-Transport-Security向浏览器保证，将来对该域的所有请求都将是安全的。
对于未来的时间段max-age：

• 来自浏览器的所有传出HTTP请求都将转换为客户端上的HTTPS （不是HTTP重定向）。

• 如果证书无效（例如，过时或自签），则用户将无法将其列入白名单，并且该站点将仍然无法访问。

HSTS行为旨在消除使用HTTPS剥离，发布无效证书（并期望用户添加和例外）以及将HTTP请求重定向到另一个目标的中间人攻击。