切换到 https 并将以下行添加到 .htaccess 后
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
一切似乎都运行良好 - 即使有人键入http://mywebsite.com也会被重定向到 https://。
但是,据我了解,HSTS 还应尽可能强制所有内容通过 https 加载。不幸的是,有时如果有人犯了错误并通过 http:// 而不是 https:// 加载一些图像(托管在同一域上),Chrome 会显示混合内容警告。
我是否犯了一些错误或我对 HSTS 的理解是错误的?