Strict-Transport-Security影响重定向到https的http反向代理

时间:2016-08-23 12:26:18

标签: apache hsts

服务器响应带有HSTS标头,因为我使用反向代理HSTS标头也是通过代理响应发送的。 由于HSTS有不同的域(代理和服务器),浏览器会自动将架构从http://proxyhost.com更改为https://proxyhost.com吗?或者当用户请求https://serverhost.com

时,预加载列表会自动调用http://proxyhost.com

1 个答案:

答案 0 :(得分:1)

  

HSTS会让浏览器自动将架构从http更改为https

事实上!从那以后:

  

反向代理HSTS标头也通过代理响应发送。

...反向代理的配置可以不由自主地使您的域设置为HSTS标头。

花了一些时间来了解为什么我的apache服务器设置HSTS标头 - 因为我没有在apache web服务器中配置它。这是由于ReverseProxy:因为外部域设置HSTS标头,此标头随后(反向代理!)使用我的域名。然后将其传播到存储它的客户端浏览器。因此,我所有域名的网站(在这种情况下也是我的所有子域名!)都被迫使用https(当然不是在使用例如curl时,而是firefox,{{1}等等。)。

感谢您的提问 - 这已经是完美的方向了!

在我的情况下,我只能使用chromium而不是RewriteRule :)但这当然取决于您的情况。

您还在评论中给出了正确的答案:

  

在这种情况下,我应该在反向代理中取消设置HSTS头

右键!只需在reverse proxy指令后直接添加Header unset Strict-Transport-Security,即可使用反向代理而不继承ProxyPassReverse标题。