情况:我们管理的一个网站迁移到了一个新的托管解决方案,并且将拥有一个新域名。客户希望保留旧域名,并将其重定向到托管解决方案中的新域名(我们基本上无法控制)。
我在 AWS 应用程序负载均衡器级别添加了 301 重定向。它可以很好地将流量从旧 URL 分流到新 URL。但问题是,安全人员要求旧 URL(如果要继续)需要使用 HSTS 标头进行响应。这有点超出我的能力范围,我还没有想出很好的解决方案。
我能想到的唯一可行的解决方案(尚未测试,因为我希望有更好的解决方案)是在后端维护服务器,让其在提供重定向之前提供 HSTS 标头。这似乎有点过分 - 维护服务器只是为了添加标头。
阅读此处的文档和其他线程,听起来我不能将 HSTS 标头直接添加到 ALB 响应中。
我想现在看到的选择是:
- 说服客户放弃旧域名
- 让安全人员相信旧域名没有 HSTS 是可以接受的
- 保持服务器运行以提供 HSTS(如果可行的话)
- 还有别的吗?