我需要在Web服务器上激活HSTS。但是,如果用户在我的“您接受我们的cookie”警报上单击“否”来不允许cookie,该怎么办?
从理论上讲,我可以在这种情况下禁用HSTS还是一直有效? 我知道这没有意义,但是行得通吗?
答案 0 :(得分:2)
由于鸡肉和鸡蛋的问题,这是不可能的。 HSTS是服务器发送的标头。服务器知道省略标头的唯一方法是客户端是否在请求中发送了一些信号来表明这一点。没有“选择退出HSTS”请求标头,因此它必须是永久存储的其他内容,例如cookie。显然是有目的的。
此外,服务器将无法在任何首次访问上设置HSTS标头。但这违反了HSTS的目的。