我正在向网站添加HTTP Strict Transport Security标题。
是否阻止通过HTTP加载不在同一域中的资源?
答案 0 :(得分:1)
HSTS仅适用于与其一起发送的域,以及任何子域(如果还设置了includeSubDomains属性)。
任何其他域名均不受影响。
但是要注意的一件事是,如果您的主域(www.example.com)使用与裸域(example.com)相同的配置,这很常见,并且您在两者上都发出HSTS标头(也许没有意识到它也在裸域上)并使用includeSubDomains标头。如果是这种情况,那么您可以轻松阻止访问您不想访问的其他域,如果有人访问裸域,则仍然可以访问http(例如http://blog.example.com或http://internal.example.com)。
BTW如果您想要将所有http请求升级到https,可以使用具有upgrade-insecure-requests选项的内容安全策略(CSP)。但是browser support of that is not yet universal。您还可以使用CSP帮助您识别所讨论的混合内容here。