zui*_*uim 5 nginx https http-headers
我在我的网站上使用带有此标头的 HSTS:
Strict-Transport-Security: max-age=15768000; includeSubDomains
这按预期工作并强制浏览器将所有 http 连接重定向到 https。
在https://www.rfc-editor.org/rfc/rfc6797#section-6.1.2的文档中,我没有找到排除指定子域的方法!
我已经尝试添加max-age=0子域,但它不会覆盖includeSubDomains
是否可以从includeSubDomains规则中排除子域?或者是删除此规则并仅对某些网站使用 HSTS 标头的唯一方法?PS:我的网络服务器是 NGINX,我使用 Firefox 和 Chrome 测试了该行为。
不:
我认为要点之一includeSubdomains是确保攻击者不可能通过强制最终用户通过纯 http 加载子域然后再加载它们来劫持 cookie 等。如果即使只有一个异常,那么includeSubdomains它也是无用的(假设攻击者有可能找出异常是什么)。
| 归档时间: |
|
| 查看次数: |
5086 次 |
| 最近记录: |