hsts = http严格传输安全
来自HSTS上的Django文档
对于仅应通过HTTPS访问的站点,您可以指示现代浏览器拒绝通过设置"严格的传输安全性"标头通过不安全连接(在给定的时间段内(连接到您的域名。这会减少您对中间人的某些SSL策划人的接触(MITM(攻击。
SecurityMiddleware将在所有HTTPS响应上为您设置此标头,如果将Secure_HSTS_SECONDS设置设置为非零整数值。
但是,通过添加一行:
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains;";
因此,问题是,我们是否应该通过在项目设置文件中添加HSTS设置来配置Nginx来设置此标头或Django SecurityMiddleware?
这完全取决于您。如果您运行多个站点,则在WebServer设置中设置全局值可能会更容易。但是,如果您在django中设置它,则将应用程序移动到新的Web服务器。