我接管了一个以前使用HSTS的网站,但由于需要嵌入一些iframe,我需要禁用它。我可以智能地从一个协议重定向到另一个协议,但Safari尤其不想忽略它的HSTS缓存。
在这个问题中(是否可以要求您的用户为您的网站清除他们的HTTP严格传输安全性(HSTS)?)在其他网站上,我看到我可以通过发送以下标题来请求浏览器从HSTS缓存中删除我的网站:
Strict-Transport-Security: max-age=0
然而,Safari似乎并不关心这一点。在同事的计算机上,该站点位于其HSTS缓存中,接收该标头并不能阻止其自动重定向到https。
有人知道告诉Safari忽略HSTS的方法吗?
它可以在顶级域上设置。
因此,如果你在看www.example.com,那么可能该策略是从example.com发布的,带有includeSubDomains选项,因此它会影响所有子域(包括www子域)。
如果是这样的话,答案是相似的。从基本域发布此标头,并确保您访问了基本域(即使它只是重定向到主域)。
Strict-Transport-Security: max-age=0; includeSubDomains
还要检查基域的预加载列表。
还值得查看web配置和网站的任何脚本或动态部分(例如PHP、Java Servlet…等等),以确保当您访问某个页面时,某些内容不会设置此项。