Nginx
HSTS 使用“includeSubdomains”排除特定子域
我在我的網站上使用帶有此標頭的 HSTS:
Strict-Transport-Security: max-age=15768000; includeSubDomains
這按預期工作,並強制瀏覽器將所有 http 連接重定向到 https。
在https://www.rfc-editor.org/rfc/rfc6797#section-6.1.2的文件中,我沒有找到排除指定子域的方法!
我已經嘗試
max-age=0
為子域添加,但它不會覆蓋includeSubDomains
是否可以從
includeSubDomains
規則中排除子域?或者是刪除此規則並僅對某些網站使用 HSTS 標頭的唯一方法?PS:我的網路伺服器是 NGINX,我用 firefox 和 chrome 測試了這個行為。
不:
我認為其中一個要點
includeSubdomains
是確保攻擊者不可能通過強制最終使用者通過普通 http 載入子域然後載入它們來劫持 cookie 等。如果甚至有一個例外,includeSubdomains
那麼它將是無用的(假設攻擊者有可能找出例外是什麼)。