我在我的网站上使用这个标题的HSTS:
Strict-Transport-Security: max-age=15768000; includeSubDomains 这按预期工作并强制浏览器将所有http连接redirect到https。
在https://tools.ietf.org/html/rfc6797#section-6.1.2的文档中,我没有find排除指定子域的方法!
我已经尝试为子域添加max-age=0 ,但不覆盖includeSubDomains
是否可以从includeSubDomains规则中排除子域名? 或者是删除这个规则的唯一方法,只是使用一些网站的HSTS头? PS:我的networking服务器是NGINX,我用firefox和chrometesting了这个行为。
没有:
我认为includeSubdomains的要点之一就是要确保攻击者不可能劫持cookies等,迫使最终用户通过普通的http加载一个子域然后他们。 如果甚至有一个例外, includeSubdomains那么它将是无用的(假设攻击者有可能找出什么是例外)。