Nginx中的HSTS:是否应该在子域服务器块中添加Strict-Transport-
让我们将以下nginx.conf配置文件与example.com和subdomain.example.com的服务器块一起使用:
标题的includeSubDomains部分显然告诉浏览器标题也适用于所有子域. 但是,如果该浏览器在看到example.com之前访问了subdomain.example.com,那将不会有任何帮助,是吗?因此,为了涵盖这种情况,我需要在所有子域服务器块中添加相同的add_header …对吗? 最佳答案
你是正确的,最好是有严格HSTS,交通运输安全头无处不在,你需要它,以确保客户得到它,即使sub.example.com之前example.com访问或如果缓存的HSTS信息已过期.
includeSubDomains标志会影响它所在的??所有子域.这意味着sub.example.com上的includeSubDomains对* .sub.example.com而不是* .example.com生效. (这很自然,因为如果例如example.co.uk可能影响* .co.uk会很糟糕.) >如果您不使用任何sub.sub.example.com,则可以保留子域的Strict-Transport-Security标头,而不使用此标志. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |