DNS 页面找到 qiesichen.com 那条 A 记录,把 Proxy status 从 DNS only(灰色云)改为 Proxied(橙色云)。这样 Cloudflare Universal SSL 会覆盖 apex 的 HTTPS,老访客浏览器里的HSTS要求就能满足。文章目录HSTS 是什么核心原理响应头示例防什么结合你说的 Cloudflare 场景HSTS 是什么HSTS全称HTTP Strict Transport SecurityHTTP 严格传输安全是一种 Web 安全策略机制。核心原理服务器通过 HTTP 响应头Strict-Transport-Security告诉浏览器“以后访问我这个网站必须用 HTTPS不许用 HTTP。”浏览器收到这个头之后会在本地缓存这条规则时间由max-age指定通常几个月甚至一年。在缓存有效期内即使用户手动输入http://访问浏览器也会自动跳转到https://不再发送任何 HTTP 明文请求响应头示例Strict-Transport-Security: max-age31536000; includeSubDomains; preload参数含义max-age31536000规则有效期秒这里是 1 年includeSubDomains所有子域名也强制 HTTPSpreload申请加入浏览器内置的 HSTS 列表首次访问前就生效防什么主要防御SSL 剥离攻击SSL Stripping——攻击者在中间人位置把 HTTPS 降级为 HTTP从而窃听明文通信。有了 HSTS浏览器根本不允许走 HTTP攻击就无法得逞。结合你说的 Cloudflare 场景你提到的操作逻辑是这样的老访客的浏览器之前访问过qiesichen.com服务器返回过 HSTS 头浏览器已经记住了这个域名必须用 HTTPS。如果 apex 域名qiesichen.com不带www的 DNS 记录是DNS only灰色云Cloudflare 不会为其提供 SSL 证书HTTPS 可能无法正常工作。把 Proxy status 改为Proxied橙色云后流量经过 CloudflareCloudflare 的 Universal SSL 证书会自动覆盖 apex 域名HTTPS 就能正常握手了。这样老访客浏览器里的 HSTS 要求强制 HTTPS就能被满足不会出现证书错误或无法访问的问题。简单说开橙色云 → Cloudflare 提供 SSL → HTTPS 可用 → HSTS 老访客不受影响。✅