HSTS 使用“includeSubdomains”排除特定子域

我在我的網站上使用帶有此標頭的 HSTS：

Strict-Transport-Security: max-age=15768000; includeSubDomains

這按預期工作，並強制瀏覽器將所有 http 連接重定向到 https。

在https://www.rfc-editor.org/rfc/rfc6797#section-6.1.2的文件中，我沒有找到排除指定子域的方法！

我已經嘗試max-age=0為子域添加，但它不會覆蓋includeSubDomains

是否可以從includeSubDomains規則中排除子域？或者是刪除此規則並僅對某些網站使用 HSTS 標頭的唯一方法？PS：我的網路伺服器是 NGINX，我用 firefox 和 chrome 測試了這個行為。

不：

我認為其中一個要點includeSubdomains是確保攻擊者不可能通過強制最終使用者通過普通 http 載入子域然後載入它們來劫持 cookie 等。如果甚至有一個例外，includeSubdomains那麼它將是無用的（假設攻擊者有可能找出例外是什麼）。

引用自：https://serverfault.com/questions/771752