1
是否必須返回HTTP嚴格傳輸安全性頭文件用於加載我的文檔的所有資源(樣式表,腳本,圖像)?還是僅僅將它們包含在文檔中就足夠了?所有資源的HSTS頭?或文件?
安全提示應該應用於每個域,所以只要發送文檔應該足以讓瀏覽器通過HTTPS獲取資源?或者我誤解了它應該如何工作?
任何人只能直接訪問我網站的資源並不是真正的受衆,我想專門迎合。
A
回答
3
原來,它應該足以發送文件頭。
如果UA從已知HSTS主機通過安全通道接收HTTP響應,但響應缺少STS頭域,UA必須繼續把主機作爲已知HSTS主機,直到max-age的值因爲知道已知的HSTS主機已達到。
https://tools.ietf.org/html/rfc6797#section-8.6
希望能客戶正確實施的RFC。
更新:這是我使用的Apache配置。我取消了資源的設置,而不是專門爲文檔設置,以確保在Apache重定向和其他頁面中使用標題。
# Enable HSTS for all responses, but disable for common resources
Header always set Strict-Transport-Security "max-age=324000; includeSubDomains"
<FilesMatch "\.(css|gif|ico|jpeg|jpg|js|png|woff)$">
Header unset Strict-Transport-Security
</FilesMatch>
從每個資源的響應標頭中刪除64個字節。
相關問題
- 1. RestEasy在資源引發異常時重置所有頭文件
- 2. 如何獲取資源文件中所有資源的名稱
- 3. 定義資源的ID在頭文件
- 4. HSTS是否將所有資源升級到HTTPS,而不管域名是什麼
- 5. mvc:資源文件夾下的所有資源都沒有收到
- 6. 「Right」REST URL獲取所有資源中的所有資源?
- 7. 在調用另一個資源之後將所有資源的頭部廣播
- 8. 沒有源文件的頭文件
- 9. XML或資源(的.resx)文件
- 10. 從文化中獲取所有資源文件的所有翻譯
- 11. 獲取名稱以001XXX開頭的所有資源
- 12. Java的罐子的JARname不解壓所有的資源文件
- 13. 值得比較CSP頭和HSTS頭嗎?
- 14. 如何獲得iPhone上所有.png資源的所有文件名的NSArray?
- 15. 資源文件
- 16. 資源文件
- 17. FHIR - 搜索所有資源
- 18. 所有字符串資源
- 19. 範圍所有ActiveAdmin資源
- 20. modx如何過濾出頁眉開頭的所有資源的特定信件?
- 21. 是春天資源文件或目錄?
- 22. 本地化 - CMS或資源文件?
- 23. ASP.NET .resx資源文件中的有效資源密鑰
- 24. 從資源枚舉某些類型的所有文件
- 25. 如何列出資源目錄中的所有文件
- 26. 在CkFinder的所有資源類型中創建子文件夾
- 27. 顯示resx文件中的所有資源字符串
- 28. 導入tf文件中定義的所有資源
- 29. 獲取所有緩存資源文件的本地路徑
- 30. iPhone/iOS:如何列出資源組中的所有文件?
324000只有3.75天。你不希望'最大年齡'至少一個月,如果不是一年? – ErikE