0

我已经实现了一个像这样的简单静态服务器/etc/nginx/sites-available/default,它将为一堆文件提供服务

server {

    listen 80;
    server_name www.x.app x.app;
    root /usr/share/app/front-end/build;
    location / {

        index index.html;
        autoindex on;
        autoindex_exact_size off;
            
    }

}

但是当我浏览http://www.x.app将立即被重定向到https://www.x.app但我想以 http 浏览并且我搜索了很多并找出Non-Authoritative-Reason: HSTSchrome 获取的标题(这将使用重定向我307 Internal Redirect)由于“HSTS”而出现安全问题答案说add_header Strict-Transport-Security "max-age=0";在NginX配置中使用但它不起作用PS1:我清除了我的chrome缓存并且也不起作用PS2:

在 chrome 中查询 HSTS/PKP 域:

Found:
static_sts_domain: app
static_upgrade_mode: FORCE_HTTPS
static_sts_include_subdomains: true
static_sts_observed: 1613773712
static_pkp_domain:
static_pkp_include_subdomains:
static_pkp_observed:
static_spki_hashes:
dynamic_sts_domain:
dynamic_upgrade_mode: UNKNOWN
dynamic_sts_include_subdomains:
dynamic_sts_observed:
dynamic_sts_expiry:
4

1 回答 1

2

当 Google 推出 .app 顶级域时,他们宣布它将仅通过 HTTPS 提供,因为它将在 Chrome(和其他浏览器)代码中预加载 HSTS,而不是依赖于在其网络服务器中配置它的站点:

https://blog.google/technology/developers/introducing-app-more-secure-home-apps-web/

.app 域的一个主要好处是为您和您的用户内置了安全性。最大的区别在于,连接到所有 .app 网站都需要 HTTPS,这有助于防止广告恶意软件和 ISP 的跟踪注入,此外还可以防止对开放 WiFi 网络进行间谍活动。因为 .app 将是第一个具有强制安全性且可用于一般注册的 TLD,它正在帮助网络在很大程度上迈向 HTTPS 无处不在的未来。

因此,如果您不想使用 HTTPS,则需要使用另一个域名。请注意, .dev 处于相同的情况。

于 2021-03-03T07:47:39.083 回答