chi*_*ult 5 https google-chrome hsts
我有以下设置:
该应用程序https://app.domain.de是我们的生产环境,并自动转发使用HTTPS.这一切都很好.最重要的是,有一些应用程序的开发版本可供我们的QA-Team访问http://develop.app.domain.de(此处不需要HTTPS).
问题从这里开始:我一旦访问https://app.domain.deChrome(我猜也是其他浏览器)转发http://develop.app.domain.de(没有HTTPS)也转到https://develop.app.domain.de(HTTPS).我当然可以禁用HSTS并清除此域的缓存并http://develop.app.domain.de再次工作,但直到我https://app.domain.de再次访问.
我无法为我们的开发环境启用HTTPS,因为您需要在Heroku中至少拥有一个Hobby Plan才能这样做,因此这会浪费我们应用程序的所有开发和测试版本.我还想保留url架构.
所以我的问题是如何永久禁用这个讨厌的转发(HSTS)?
std*_*ass 38
您可以thisisunsafe在Google Chrome警告页面上的任意位置进行输入,它会在没有警告的情况下加载它.可不是闹着玩的.
在主域上,您可以删除 HSTS 标头的 includesubdomains 选项,这样它就不会重定向子域。
然而,这并不是最安全的解决方案。为了有效,最好在所有域和子域上设置 HSTS+includesubdomains(或者攻击者伪造域“ http://secure.yourdomain.com ”)。
因此,最安全的解决方案是为您的开发域使用自签名证书(或真实的证书),并在浏览器中导入它。
| 归档时间: |
|
| 查看次数: |
11049 次 |
| 最近记录: |