我在服务器上的ssl vhost中设置了这一行。我正在运行Apache 2.x
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
这是一个重大错误,因为现在我想删除它并强制用户有时回到http页面。它没有启用很长时间,但我不想失去任何人。如果我现在尝试强制用户回到http页面,他们最终会进入重定向循环。
如何使用服务器上的设置取消设置或过期HSTS,以便当用户访问该站点并点击该站点的https版本时,Strict-Transport-Security设置将从其浏览器中删除,并且它们是能够重定向到http?
我已经知道我犯了一个愚蠢的错误。我吸取了教训,现在只需要清理它。
答案 0 :(得分:13)
想出来:
注意:max-age值为零(即" max-age = 0")表示UA为0 停止将主机视为已知的HSTS主机,包括 includeSubDomains指令(如果为该HSTS主机声明)。 另见第8.1节("严格传输 - 安全响应 标题字段处理")。
来自RFC 6797文件。
因此,我将设置以下行并将其保留几个月,然后再删除它。
Header always set Strict-Transport-Security "max-age=0; includeSubDomains"