我在我的服务器上设置了一个ssl虚拟主机的这一行。 我正在运行Apache 2.x
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains" 这是一个重大的错误,因为现在我想删除它,有时强迫用户回到http页面。 它没有启用很长时间,但我不想放弃任何人。 如果我现在试图强制用户返回到http页面,他们最终在一个redirect循环。
如何使用服务器上的设置来取消设置或过期HSTS,以便当用户访问网站并点击该网站的https版本时,Strict-Transport-Security设置将从浏览器中删除,并且可以redirect到http?
我已经知道我犯了一个愚蠢的错误。 我吸取了教训,现在只需要清理它。
弄清楚了:
注意:最大年龄值为0(即“max-age = 0”)表示UA停止关于主机作为已知的HSTS主机,包括includeSubDomains指令(如果针对该HSTS主机声明)。 另请参见第8.1节(“严格传输安全响应头字段处理”)。
从RFC 6797文档。
所以,我只会设置下面的行,并将其保留几个月,然后再删除它。
Header always set Strict-Transport-Security "max-age=0; includeSubDomains"