我在服务器上的 ssl vhost 中设置了这一行。我正在运行 Apache 2.x

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"

这是一个重大错误,因为现在我想删除它并强制用户有时返回 http 页面。它没有启用很长时间,但我不想失去任何人。如果我现在尝试强制用户返回 http 页面,他们最终会进入重定向循环。

如何使用服务器上的设置取消或过期 HSTS,以便当用户访问该站点并点击该站点的 https 版本时,Strict-Transport-Security 设置将从他们的浏览器中删除,并且他们能够被重定向到 http

我已经知道我犯了一个愚蠢的错误。我吸取了教训,现在只需要清理它。

最佳答案

弄清楚了:



来自 RFC 6797 文档。

因此,我将只设置以下行并将其保留几个月,然后再将其删除。

Header always set Strict-Transport-Security "max-age=0; includeSubDomains"

关于apache - 在 Apache 服务器上取消设置或过期 HSTS 策略,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/21766910/

10-17 03:14