1

我已经接管了一个以前使用 HSTS 的站点,但是由于我需要嵌入一些 iframe,我需要禁用它。我能够智能地从一种协议重定向到另一种协议,但 Safari 尤其不想忽视其 HSTS 缓存。

在这个问题(Is it possible to ask your users to clear their HTTP Strict Transport Security (HSTS) for your site?)和其他网站上,我看到我可以通过发送请求浏览器从他们的 HSTS 缓存中删除我的网站以下标题:

Strict-Transport-Security: max-age=0

但是,Safari 似乎并不关心这一点。在同事的计算机上,该站点在其 HSTS 缓存中,接收该标头不会阻止它自动重定向到 https。

有人知道告诉 Safari 忽略 HSTS 的方法吗?

4

1 回答 1

0

它可以设置在顶级域上。

因此,如果您正在查看 www.example.com,那么该策略可能已从 example.com 发布并带有 includeSubDomains 选项,因此它会影响所有子域(包括 www 子域)。

如果是这样,答案是相似的。从基域发布此标头并确保您访问基域(即使它只是重定向到主域)。

Strict-Transport-Security: max-age=0; includeSubDomains

还要检查基本域的预加载列表。

还值得查看 Web 配置和网站的任何脚本或动态部分(例如 PHP、Java Servlets...等),以确保当您访问某个页面时某些东西仍然没有设置。

于 2016-07-29T09:08:23.420 回答