我在我的网站空间根目录中使用.htaccess:
Header set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload" env=HTTPS
RewriteEngine On
RewriteCond %{HTTPS} !on [OR]
RewriteCond %{HTTP:X-Forwarded-Proto} http
RewriteRule ^(.*)$ https://%{HTTP_HOST} [R=301,L]
以便每个http网址都被重定向到https root。
我想阻止sslstripping,所以我不会将每个http网址重定向到https网址,而是重定向到根网址。
一旦用户调用http url(1)并被重定向到https root,hsts就会启动,因此调用相同的url(1)会为所需资源生成一个安全的https url。
我不想将第一个http请求重定向到https root,强制用户重新输入请求以访问资源,所以我的想法是,在包含http URI的重写规则中设置安全cookie。在https root上,我读取该cookie并重定向到前一个请求的http uri
这可能吗?这与将每个http网址重定向到https网址有什么不同吗?