请求Safari浏览器客户端忽略HSTS
我已经接管了以前使用HSTS的站点,但由于需要嵌入一些iframe,我需要禁用它。我能够智能地从一种协议重定向到另一种协议,但Safari尤其不希望忽略其HSTS缓存。请求Safari浏览器客户端忽略HSTS
在这个问题上(Is it possible to ask your users to clear their HTTP Strict Transport Security (HSTS) for your site?)以及其他网站上,我看到,我可以要求浏览器通过发送下面的头从HSTS缓存中删除我的网站:
Strict-Transport-Security: max-age=0
然而,Safari浏览器没有按” t似乎关心这一点。在拥有HSTS缓存中站点的同事电脑上,收到该邮件头并不能防止其自动重定向到https。
任何人都知道一种告诉Safari无视HSTS的方法吗?
它可以设置在顶级域名上。
因此,如果您正在查看www.example.com,则可能已使用includeSubDomains选项从example.com发布策略,因此它会影响所有子域(包括www子域)。
如果是这样的话,答案是相似的。从基本域中发布此头文件并确保您访问基本域(即使它只是重定向到主域)。
Strict-Transport-Security: max-age=0; includeSubDomains
另请检查基础域的预加载列表。
也值得通过网页配置和网站的任何脚本或动态部分(例如PHP,Java Servlets等)来查找,以确保当您访问特定页面时某些内容仍未设置。
我其实*是*检查顶级域名。我们的网站(并且一直)始终由example.com(而不是www.example.com)提供。好主意看所有服务的资产。我还没有检查过。 – jacobe
以前是否有可能发送过“预加载”?在Chrome的情况下,这基本上会使它成为谷歌服务器的Chrome中的一部分。 Safari可能会做类似的事情。 –
Ssllabs(https://www.ssllabs.com/ssltest/)为检查所有预加载列表提供了很好的简单方法。它没有Safari版本,但至少可以检查其他版本(哪些Safari还可以使用)。并不是说它不曾用于预加载列表,现在已经删除。 –
谢谢@JoshuaDeWald。这是可能的,而且看起来合乎逻辑。 – jacobe