15

我在我的服务器上的 ssl vhost 中设置了这一行。我正在运行 Apache 2.x

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"

这是一个重大错误,因为现在我想删除它并http有时迫使用户返回页面。它没有启用很长时间,但我不想失去任何人。如果我现在试图强迫用户返回 http 页面,他们最终会进入重定向循环。

如何使用服务器上的设置取消设置或过期 HSTS,以便当用户访问该站点并点击该https站点的版本时,从浏览器中删除 Strict-Transport-Security 设置并且能够将它们重定向到http

我已经知道我犯了一个愚蠢的错误。我吸取了教训,现在只需要清理它。

4

1 回答 1

17

弄清楚了:

注意:max-age 值为零(即“max-age=0”)表示 UA 停止将主机视为已知 HSTS 主机,包括 includeSubDomains 指令(如果为该 HSTS 主机断言)。另请参见第 8.1 节(“Strict-Transport-Security 响应头字段处理”)。

来自RFC 6797文档。

因此,我将只设置以下行并将其保留几个月,然后再将其删除。

Header always set Strict-Transport-Security "max-age=0; includeSubDomains"
于 2014-02-14T05:03:47.417 回答