HSTS是国际互联网安全工程组织正在推行一种新的 Web 安全协议，当您的网站采用 HSTS后，用户访问时无需手动在地址栏中输入 HTTPS，也不用像之前一样在服务器设置http跳转到https，浏览器会自动采用 HTTPS 访问网站地址，从而保证用户始终访问到网站的加密链接，保护数据传输安全。

以下是windows 2012的操作方法：

 

完整复制以下代码，替换网站根目录文件：web.config 代码。
 

<?xml version="1.0" encoding="UTF-8"?>

    <configuration>

      <system.webServer>

        <rewrite>

          <rules>

            <rule name="HTTP to HTTPS redirect" stopProcessing="true">

              <match url="(.*)" />

              <conditions>

                <add input="{HTTPS}" pattern="off" ignoreCase="true" />

              </conditions>

              <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />

             </rule>

           </rules>

           <outboundRules>

             <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">

               <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />

               <conditions>

                 <add input="{HTTPS}" pattern="on" ignoreCase="true" />

               </conditions>

               <action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" />

             </rule>

           </outboundRules>

         </rewrite>

       </system.webServer>

     </configuration>