问题标签 [hsts]

我支持一个网站

https://www.somesite.com

并且我已遵循设置的所有要求

https://hstspreload.appspot.com

但是，当我进入 somesite.com 检查状态和资格时，出现错误：

这是Google Chrome 将 localhost 重定向到 https的后续问题。

有谁知道，如何localhost从谷歌浏览器的 HSTS 列表中永久排除？

或者，在从 HTTPS 项目切换到 HTTP 上的不同项目时，不需要开发人员每次都访问chrome://net-internals/#hsts和删除的任何其他优雅的解决方案？localhost

我想为我的网站将 http 请求转换为 https。我已经获得了 SSL 证书，但可能会绕过我的应用程序启用的加密，并且在获得证书后，我的应用程序无法阻止通过不安全的连接进行访问

服务器响应带有 HSTS 标头，并且由于我使用的是反向代理 HSTS 标头也通过代理响应发送。由于存在不同的域（代理和服务器），HSTS 是否会使浏览器自动将架构从http://proxyhost.com更改为https://proxyhost.com？或者当用户请求http://proxyhost.com时，预加载列表会自动调用https://serverhost.com？

Bg：我最近正在开发一个主机管理工具，我想实现这样一个功能：通过点击一个btn自动删除chrome-browser的HSTS缓存。我运行python 脚本来删除 chrome 的 HSTS-cache 文件。但是......在我完成删除该文件后，我必须重新启动 chrome，然后这个清除操作才有效。（也许 chrome 读取文件并将其存储在缓存中？）

问题：那么有一些方法可以清除 hsts-auto 吗？不需要打开 chrome://net-internals/#hsts ，或者使用我的方法不需要重启 chrome-browser ？

谢啦~

我的 中有以下处理程序部分app.yaml：

由另一个子模块 ( static.yaml) 提供服务的另一个子域具有以下内容：

我能够static.yaml毫无问题地部署到 appengine：

而当我尝试更新app.yaml配置时，我得到：

我知道这意味着我必须在我的 python 脚本本身中处理 HSTS 配置。但是，我在main.app界面中有大约 10 个处理程序。除了更新每一个来添加 STS 标头之外，是否有一些替代方法可以在app.yaml级别本身这样做？

检查app.yamlGAE 上的参考，没有提到类型映射中http_header指令的限制。script

在阅读 HSTS (Strict-Transport-Security) 的规范时，我在第 7.2 节中看到禁止通过 http 而不是 https 访问时发送标头的禁令：

HSTS 主机不得在通过非安全传输传送的 HTTP 响应中包含 STS 头字段。

为什么是这样？如果违反，会有什么风险？

我在我的 API 项目中使用 Spring Security 和 Spring Oauth2 和 JWT
为了登录 Spring oauth 2 提供的默认 API 是 /oauth/token

此 API 始终在响应中添加“Strict-Transport-Security: max-age=31536000 ; includeSubDomains”标头。但我不希望在我的情况下出现这种情况。我已经用下面的源代码删除了 HSTS。

使用上面的代码，我定义的 API 在标头中删除了 HSTS。但默认 API /oauth/token 仍然在标头中返回 HSTS。有没有办法做到这一点？请帮忙。

谢谢，锡

访问未正确配置的网站发送 HSTS 标头时，firefox 无法添加证书异常；这会使开发人员的生活变得一团糟，因为您并不总是可以选择需要在哪里开发/进行更改。

评论1：我是stackoverflow的新手，我不是真正的程序员，所以如果我做错了请原谅我。（我现在大喊“该死的吉姆，我是医生而不是程序员！”）

评论 2：我试图做我的功课，但就我不是程序员而言，我在弄清楚我的问题的确切答案时遇到了一些麻烦。如果我错过了什么，请告诉我，希望这不会浪费任何人的时间。

最终目标是加快和保护我的网站。它应该全部通过https。

我注意到，如果我直接在测试仪中输入“https://”，我的（wordpress）网站速度测试要快得多（加载时间=1-2s vs 5-8s）。瀑布表明需要很长时间才能将 http 重定向到 https（这是有道理的，因为目前我的 .htaccess 中根本没有列出重定向......我很惊讶它并没有完全失败）。

我希望通过在 .htaccess 中提供重定向，我的网站速度将更接近直接输入“https://”时看到的速度。

这一切都促使我调查 .htaccess 中的 HSTS 和 301 重定向。似乎有很多不同的方式来做这些重定向，我不确定有什么区别。

例如，这是不是更好：

还是这个（由我的托管服务提供商推荐）？

然后我在 varvy 上找到了 .htaccess 的代码https://varvy.com/pagespeed/hsts.html。

我想添加到 .htaccess

（现在不是预加载）但我不确定是否应该将其插入重定向上方或下方。

我应该使用它env=https来防止任何通过 http 发送 HSTS 的尝试吗？

更复杂的是，这篇文章似乎表明我应该有多个重定向，以使整个事情在所有情况下都能正常工作。这篇文章对我来说很有意义，他提出的重定向方案也是如此：

http://example.com → https://example.com*
http://www.example.com → https://www.example.com* → https://example.com*
https://www .example.com → https://example.com*

但是我不确定如何在实际的 .htaccess 中实现类似的东西，而且我对盲目地尝试东西有点紧张。

最后，我的各种 wordpress 插件在 .htaccess 文件中添加了一堆缓存/安全内容。重定向是高于还是低于所有这些？

我的规范（和 ssl 证书）位于https://example.com，所以我希望所有重定向都结束（但保留请求的剩余部分），所以 example.com/page1 应该转到https://example.com/page1