我想强制执行HSTS只有1个子域,但不是整个域,这是可能的吗?
xxx.yyy.com -> HSTS on zzz.yyy.com -> HSTS off yyy.com -> HSTS off
是。
只发送xxx.yyy.com的Strict-Transport-Security头, 不指定includeSubDomains 。 在这种情况下,正确处理HSTS的浏览器将只设置指定子域( xxx.yyy.com )的要求。
xxx.yyy.com
Strict-Transport-Security
includeSubDomains