Запрос веб-клиента Safari игнорировать HSTS

Я взял на себя сайт, который ранее использовал HSTS, но из-за того, что мне нужно встроить некоторые фреймы, мне нужно отключить его. Я могу разумно перенаправить с одного протокола на другой, но Safari, в частности, не хочет игнорировать свой кеш HSTS.

В этом вопросе (Можно ли попросить ваших пользователей очистить их HTTP Strict Transport Security (HSTS) для вашего сайта?) и на других сайтах я видел, что могу запросить браузеры удалить мой сайт из их кэша HSTS, отправив следующий заголовок:

Strict-Transport-Security: max-age=0

Однако Safari, похоже, это не волнует. На компьютере коллеги, у которого есть сайт в кеше HSTS, получение этого заголовка не препятствует автоматическому перенаправлению на https.

Кто-нибудь знает, как сказать Safari игнорировать HSTS?


macos https safari http-headers hsts
person jacobe    schedule 26.07.2016    source источник
comment
Возможно ли, что ранее он был отправлен с предварительной загрузкой? В случае с Chrome это, по сути, сделало бы его частью фидов в Chrome с серверов Google. Safari может сделать что-то подобное.   -  person Joshua DeWald    schedule 27.07.2016
comment
Ssllabs (ssllabs.com/ssltest) предоставляет простой способ проверки всех списков предварительной загрузки. У него нет одного для Safari, но, по крайней мере, он может проверять другие (которые сафари все еще может использовать). Нельзя сказать, что раньше он не был в списке предварительной загрузки, а теперь удален.   -  person Barry Pollard    schedule 27.07.2016
comment
Спасибо @JoshuaDeWald. Это возможно и кажется логичным.   -  person jacobe    schedule 29.07.2016
comment
@BazzaDP, казалось бы логичным, что он может быть в этих списках, но, что интересно, его нет. В любом случае, если бы это было так, кажется, что это долгий путь для удаления (что обескураживает). Но так как это не так, я в значительной степени не понимаю, как сказать сафари игнорировать.   -  person jacobe    schedule 29.07.2016

Ответы (1)


arrow_upward
0
arrow_downward

Его можно установить в домене верхнего уровня.

Поэтому, если вы смотрите на www.example.com, возможно, политика была опубликована с example.com с опцией includeSubDomains, поэтому она влияет на все субдомены (включая субдомен www).

Если да, то ответ аналогичен. Опубликуйте этот заголовок из базового домена и убедитесь, что вы посещаете базовый домен (даже если он просто перенаправляет на основной домен).

Strict-Transport-Security: max-age=0; includeSubDomains

Также проверьте списки предварительной загрузки для базового домена.

Также стоит просмотреть веб-конфигурацию и любые сценарии или динамические части веб-сайта (например, PHP, сервлеты Java... и т. д.), чтобы убедиться, что что-то еще не устанавливает это, например, при посещении определенной страницы.

person Barry Pollard    schedule 29.07.2016
comment
На самом деле я проверял домен верхнего уровня. Наш сайт всегда обслуживался (и был) с сайта example.com (а не с www.example.com). Хорошая идея, глядя на все обслуживаемые активы. Я еще не проверял это. - person jacobe; 29.07.2016