我在我的网站上使用带有此标头的 HSTS:
Strict-Transport-Security: max-age=15768000; includeSubDomains
这按预期工作并强制浏览器将所有 http 连接重定向到 https。
在https://www.rfc-editor.org/rfc/rfc6797#section-6.1.2的文档中,我没有找到排除指定子域的方法!
我已经尝试添加max-age=0子域,但它不会覆盖includeSubDomains
是否可以从includeSubDomains规则中排除子域?或者是删除此规则并仅对某些网站使用 HSTS 标头的唯一方法?PS:我的网络服务器是 NGINX,我使用 Firefox 和 Chrome 测试了该行为。