我不想要includeSubDomains选项
➔ curl -s --head https://example.com/ |grep Strict
Strict-Transport-Security: max-age=15552000; includeSubDomains
这似乎不起作用:
config.force_ssl = true
config.ssl_options = { hsts: { subdomains: false } }
我做错了什么?
Rails 5.0.1
答案 0 :(得分:5)
问题是Rails 5有一个初始化程序new_framework_defaults.rb,它有这一行:
in因为它在初始化程序中,无论你在环境配置中放什么,这些设置都没有效果。我在这里开了一个问题:https://github.com/rails/rails/issues/27638
答案 1 :(得分:0)
我强烈建议您使用secureheaders gem,以便更好地控制这些标题(以及其他类似标题)。