我在我的网站上使用带有此标头的 HSTS:
Strict-Transport-Security: max-age=15768000; includeSubDomains
这按预期工作,并强制浏览器将所有 http 连接重定向到 https。
在https://www.rfc-editor.org/rfc/rfc6797#section-6.1.2的文档中,我没有找到排除指定子域的方法!
我已经尝试max-age=0为子域添加,但它不会覆盖includeSubDomains
是否可以从includeSubDomains规则中排除子域?或者是删除此规则并仅对某些网站使用 HSTS 标头的唯一方法?PS:我的网络服务器是 NGINX,我用 firefox 和 chrome 测试了这个行为。
不:
我认为其中一个要点
includeSubdomains是确保攻击者不可能通过强制最终用户通过普通 http 加载子域然后加载它们来劫持 cookie 等。如果甚至有一个例外,includeSubdomains那么它将是无用的(假设攻击者有可能找出例外是什么)。