我在服务器上的 ssl vhost 中设置了这一行。我正在运行 Apache 2.x
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
这是一个重大错误,因为现在我想删除它并强制用户有时返回
http
页面。它没有启用很长时间,但我不想失去任何人。如果我现在尝试强制用户返回 http 页面,他们最终会进入重定向循环。如何使用服务器上的设置取消或过期 HSTS,以便当用户访问该站点并点击该站点的
https
版本时,Strict-Transport-Security 设置将从他们的浏览器中删除,并且他们能够被重定向到 http
?我已经知道我犯了一个愚蠢的错误。我吸取了教训,现在只需要清理它。
最佳答案
弄清楚了:
来自 RFC 6797 文档。
因此,我将只设置以下行并将其保留几个月,然后再将其删除。
Header always set Strict-Transport-Security "max-age=0; includeSubDomains"
关于apache - 在 Apache 服务器上取消设置或过期 HSTS 策略,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/21766910/