我在服务器上的ssl vhost中设置了这一行.我正在运行Apache 2.x.
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
这是一个重大错误,因为现在我想删除它并迫使用户http有时回到页面.它没有启用很长时间,但我不想失去任何人.如果我现在尝试强制用户回到http页面,他们最终会进入重定向循环.
如何使用服务器上的设置取消设置或使HSTS失效,以便当用户访问该站点并点击该站点的https版本时,Strict-Transport-Security设置将从其浏览器中删除,并且可以将它们重定向到http?
我已经知道我犯了一个愚蠢的错误.我吸取了教训,现在只需要清理它.
Bra*_*den 15
弄清楚了:
注意:max-age值为零(即"max-age = 0")表示UA停止将主机视为已知HSTS主机,包括includeSubDomains指令(如果为该HSTS主机声明).另请参见第8.1节("严格传输 - 安全响应标头字段处理").
来自RFC 6797文档.
因此,我将设置以下行并将其保留几个月,然后再将其删除.
Header always set Strict-Transport-Security "max-age=0; includeSubDomains"
| 归档时间: |
|
| 查看次数: |
7066 次 |
| 最近记录: |