我需要通过 HTTP 访问一些图像和 JS 文件,但是如果我使用 启用 HSTS add_header Strict-Transport-Security "max-age=31536000";,则所有文件都通过 HTTPS 强制提供。
所以我使用了add_header Strict-Transport-Security "max-age=0;".
是否有启用 HSTS 的通过 HTTP 访问文件的方法?
HSTS 不是重定向:您必须先将 HTTP 重定向到 HTTPS,然后 HSTS 标头告诉您的浏览器永远不要返回到 HTTP。所以这就是它的目的。如果您有 HSTS,则不会通过 HTTP 提供任何内容。
你提到你需要这个来处理一些图像 ja JavaScripts。但是,如果您的站点使用 HTTPS,浏览器不应通过 HTTP 信任外部资源。特别是通过 HTTP 将 JavaScript 加载到受 TLS 保护的站点会很危险:可以修改脚本以暴露受保护连接内的数据。
如果您需要在站点外提供静态内容,您可以使用子域。由于您尚未includeSubDomains在 HSTS 标头中进行设置,因此它不会应用于子域。您仍然可以static.example.com/path/to/image.jpg通过 HTTP 提供服务。
| 归档时间: |
|
| 查看次数: |
522 次 |
| 最近记录: |