Nginx

HSTS 使用“includeSubdomains”排除特定子域

  • October 13, 2016

我在我的網站上使用帶有此標頭的 HSTS:

Strict-Transport-Security: max-age=15768000; includeSubDomains

這按預期工作,並強制瀏覽器將所有 http 連接重定向到 https。

https://www.rfc-editor.org/rfc/rfc6797#section-6.1.2的文件中,我沒有找到排除指定子域的方法!

我已經嘗試max-age=0為子域添加,但它不會覆蓋includeSubDomains

是否可以從includeSubDomains規則中排除子域?或者是刪除此規則並僅對某些網站使用 HSTS 標頭的唯一方法?PS:我的網路伺服器是 NGINX,我用 firefox 和 chrome 測試了這個行為。

不:

我認為其中一個要點includeSubdomains是確保攻擊者不可能通過強制最終使用者通過普通 http 載入子域然後載入它們來劫持 cookie 等。如果甚至有一個例外,includeSubdomains那麼它將是無用的(假設攻擊者有可能找出例外是什麼)。

引用自:https://serverfault.com/questions/771752