HedgeDoc服务器安全配置：HSTS预加载机制的默认设置优化

在Web应用安全领域，HTTP严格传输安全（HSTS）是一项重要的安全机制。近期HedgeDoc服务器项目对其默认配置进行了重要调整，将HSTS预加载（preload）功能从默认启用改为默认禁用状态。这一变更体现了对互联网安全最佳实践的遵循，也反映出开源项目对用户安全的持续关注。

HSTS机制通过强制使用HTTPS连接来防止协议降级攻击和cookie劫持。当服务器启用HSTS时，会在响应头中添加Strict-Transport-Security字段，其中包含max-age、includeSubdomains和preload等指令。其中preload指令特别值得注意，它表示网站希望被纳入浏览器内置的HSTS预加载列表。

HedgeDoc原本的默认配置中启用了preload指令，这虽然提高了安全性，但却不符合HSTS预加载列表的提交要求。根据规范，预加载应该是网站管理员明确选择加入（opt-in）的行为，而不是由软件默认开启。这是因为预加载具有不可逆的特性——一旦域名被加入浏览器的预加载列表，即使后续取消配置，也需要很长时间才能从列表中移除。

此次配置变更将默认值调整为：

• 启用HSTS（enable: true）
• 设置最大有效期1年（maxAgeSeconds: 31536000）
• 包含子域名（includeSubdomains: true）
• 禁用预加载（preload: false）

这样的调整既保持了基本的安全防护，又给予管理员充分的控制权。对于确实需要预加载的实例，管理员仍可通过显式配置来启用该功能。这种设计体现了安全性与灵活性的平衡，是Web应用安全配置的典范做法。

对于HedgeDoc用户而言，这一变更意味着：

1. 新安装的实例将不会自动申请加入预加载列表
2. 现有实例如果依赖默认配置，需要评估是否需要显式启用preload
3. 子域名部署的场景下，预加载功能实际上无法通过公共表单提交

作为一款面向技术用户的协作平台，HedgeDoc此次配置优化展示了开源项目对安全细节的关注。这也提醒所有Web应用开发者，在实现安全功能时，不仅要考虑防护效果，还需关注功能的适用场景和管理控制，真正做到安全而不失灵活。