我已经接管过以前使用HSTS的网站,但由于我需要嵌入一些iframe,我需要禁用它。我能够智能地从一种协议重定向到另一种协议,但Safari特别不想忽视其HSTS缓存。
在这个问题(Is it possible to ask your users to clear their HTTP Strict Transport Security (HSTS) for your site?)和其他网站上,我发现我可以通过发送以下标题请求浏览器从HSTS缓存中删除我的网站:
Strict-Transport-Security: max-age=0
然而,Safari似乎并不关心这一点。在同事的计算机上,该站点在其HSTS缓存中,接收该标头并不会阻止它自动重定向到https。
任何人都知道告诉Safari无视HSTS的方法吗?
答案 0 :(得分:0)
可以在顶级域名中设置。
因此,如果您正在查看www.example.com,那么该政策可能已从example.com发布,并附带includeSubDomains选项,因此它会影响所有子域(包括www子域)。
如果是这样,答案是相似的。从基本域发布此标头,并确保您访问基本域(即使它只是重定向到主域)。
Strict-Transport-Security: max-age=0; includeSubDomains
同时检查基本域的预加载列表。
还值得查看网络配置和网站的任何脚本或动态部分(例如PHP,Java Servlets等),以确保在您访问某个页面时仍未设置此内容。