0

我有一个 asp.net 网络应用程序,它被子域“www”上的搜索引擎索引。我真的不想改变这一点:对根域的请求都设置了永久重定向到 www 版本,这一切都很好。

我已经在网站上启用了 HSTS,但是由于重定向,我添加的 HSTS 出站标头规则永远不会在对域根目录的第一个请求中被命中。(它适用于后续的 https 请求,因为没有重定向)。这是一个问题,因为我想提交站点以进行 HSTS 预加载 - 这要求重定向包含 HSTS 响应标头...。

我尝试将规则上的 stopProcessing 属性设置为 false(希望设置 HSTS 标头的出站规则即使在重定向时也会运行)无济于事。

以下是我的配置文件中的相关摘录:

<rewrite>
  <rules>
    <rule name="Canonical Host Name, HTTPS enabled" stopProcessing="false">
      <match url="(.*)" />
      <conditions logicalGrouping="MatchAll">
        <add input="{HTTP_HOST}" negate="true" pattern="www.mysite.co.uk" />
        <add input="{HTTP_HOST}" negate="true" pattern="^[a-z0-9]+\.cloudapp\.net$" />
        <add input="{HTTP_HOST}" negate="true" pattern="localhost" />
      </conditions>
      <action type="Redirect" url="https://www.mysite.co.uk/{R:1}" redirectType="Permanent" />
    </rule>

  </rules>

        <!-- hsts | http://www.hanselman.com/blog/HowToEnableHTTPStrictTransportSecurityHSTSInIIS7.aspx -->
     <outboundRules rewriteBeforeCache="true">
            <rule name="Add Strict-Transport-Security" enabled="true">
                <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
                <conditions logicalGrouping="MatchAll">
                    <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                    <add input="{HTTP_HOST}" pattern="(mysite.co.uk|www.mysite.co.uk)" ignoreCase="true" />
                </conditions>
                <action type="Rewrite" value="max-age=31536000; includeSubDomains; preload" />
            </rule>  
    </outboundRules>

</rewrite>
4

2 回答 2

1

必须按如下方式添加标题:

<system.webServer>
    <httpProtocol>
      <customHeaders>
        <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload" />
      </customHeaders>
    </httpProtocol>
</system.webServer>

即使在发送重定向时也会发送标头。我删除了 outboundRules 部分。

于 2016-01-27T10:47:19.243 回答
0

从这个关于服务器故障的答案,

HSTS 主机不得在通过非安全传输传送的 HTTP 响应中包含 STS 头字段。

请确保您正确配置您的服务器。

于 2018-06-16T15:48:48.910 回答