问题标签 [hsts]

我想知道除了flood.io之外的另一种绕过这个的可能性。这就是我得到的。上次我尝试这个时，页面无法以正确的方式导出到 .har。

• JMeter 2.13
• FF v44

因此，大约一年前，我在我的网站上设置了 HSTS，并将其提交到 Google 的预加载列表。现在，我遇到了一个问题，因为我将 sendgrid 链接跟踪标记为白标，该链接跟踪依赖于我网站子域的 cname。因此，这些链接失败并NET::ERR_CERT_COMMON_NAME_INVALID在 Chrome 中出现错误，因为浏览器收到的 SSL 证书来自 SendGrid。

有没有办法解决这个问题？Chrome 的预加载列表希望我的所有子域都通过 SSL 提供，证书与我的实际域相关联。有没有办法让 Chrome 快速删除对我的子域的期望？或者有没有办法更改 SendGrid 设置，以便我消除 CNAME 记录并将我的子域重定向到 SendGrid 域？也许是别的东西。

顺便说一句，我的子域有自己的 SSL 证书。

如有必要，我愿意为我的链接跟踪切换到不同的域，但是我需要一种方法来重写旧客户电子邮件中的链接。

网络浏览器存储 sts 标头，但我不知道确切的位置。chrome 和 firefox 在哪里存储 sts 标头？浏览器可以关闭 hsts 协议吗？

我正在尝试验证 HSTS 标头。

有两种情况需要测试：

1. 多个 Max-age 值，例如max-age=342343; max-age=234234

;以下仅在两个 max-ages 之间没有 " " 值时有效。这是一个问题....

2. 第二个是 Max-age 包含数字和其他字符的地方，例如max-age=324A或max-age=534A;

   /li>

我如何让正则表达式;在结尾有或没有的模式匹配...

谢谢，

我需要解析Mozilla的开发者论坛上提到的Mozilla的HSTS预加载列表：https ://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security

如“Firefox HSTS 预加载列表的咨询：https ://dxr.mozilla.org/comm-central/source/mozilla/security/manager/ssl/nsSTSPreloadList.inc ”请解释此文件中提到的格式和注释。

Chrome 提供了 JSON 格式的 HSTS 预加载列表，这是不言自明的。

我的 iOS 应用程序使用 ATS 保护以加强安全性。网站正在使用 HSTS。Android的等效技术是什么？

谢谢。:-)

我在 Grails 服务器上运行了一个 groovy 代码。如何为 HSTS 配置它？我查看了 Groovy 规范，没有发现任何有用的东西。

这就是我想要实现的

当我查看来自服务器的任何 HTTP 响应时。我必须看到如下标题

你能提出一些建议吗？

关于 HSTS includeSubDomains 指令。这是否包括 example.com 下的每个子域。所以 abc.def.example.com 也包括在内？

在 RFC 中：

这表示“任何”，我可以把它理解为每个子域，不管是什么级别。即 sub1.sub2.sub3.example.com 不仅仅是 sub3.example.com

有没有办法从 Chrome 的预加载 HSTS 列表中删除条目？

出于开发原因，我需要路由一个google-analytics.com与原始 IP 地址不同的网页。但google-analytics.com在 Chrome 的预加载 HSTS 列表中。这会导致加载网页时出错，因为我的google-analytics.com证书 ssl 没有正确签名。

我知道我可以通过 chrome://net-internals/#hsts 从动态创建的 HSTS 列表中删除条目，但不能删除浏览器附带的条目。

有什么方法可以告诉 Chrome 我知道我在做什么？

我已将站点更改为 https 并在 .htaccess 中设置了重定向。但我也设置了严格的传输安全。两者都是必要的还是有用的？

干杯