我有一个名为www.foo.com的网站和一个名为dev.foo.com的相关开发网站。我的SSL证书仅涵盖www.foo.com。所以这两个地址看起来像这样:
的https:www.foo.com
我可以像这样使用HSTS标头的 includeSubDomains 选项:
Strict-Transport-Security: max-age=10886400; includeSubDomains; preload
或者这是否意味着dev.foo.com也必须是安全的?
答案 0 :(得分:1)
不幸的是,使用“foo.com”的includeSubDomains选项适用于“dev.foo.com”和“www.foo.com”因此,如果您想使用includeSubDomains选项,请使用dev。 foo.com也必须是安全的,否则网页浏览器会弹出不可避免的HSTS错误。