https 开启 HSTS 带来的问题

发表于2018-04-16|更新于2026-04-28|others

最近有个站点
开启了HSTS
带来的好处是浏览器自动跳转为https

但是有新的问题产生

跨域Origin

为解决跨域问题我使用Access-Control-Allow-Origin
由于HSTS 会让浏览器自动307跳转后ajax请求没有Origin字段
造成无法跨域

关闭HSTS

关闭HSTS 不能简单的不发送这个头
而是要配置apahce

1	Header always set Strict-Transport-Security "max-age=0"

否则之前HSTS过期之前，浏览器会一直使用HTTPS

开启

1	Header always set Strict-Transport-Security "max-age=0; includeSubdomains; preload"

教训

2019-03-22
今天竟然又犯了这个错误
如果确认已经把这个功能关掉，可以本机删除一下chrome hsts缓存

1	chrome://net-internals/#hsts

文章作者: developer

文章链接: http://example.com/2018/04/16/https%20%E5%BC%80%E5%90%AF%20HSTS%20%E5%B8%A6%E6%9D%A5%E7%9A%84%E9%97%AE%E9%A2%98/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Dev！

https 开启HSTS 带来的问题

相关推荐

apache windows 无法开启 https 错误记录

最近在本地测试时候发现Apache 虚拟配置的位置该表会导致，https无法访问正确配置两个网站都可以访问1234567891011121314151617181920212223242526272829303132333435363738<VirtualHost *:443> DocumentRoot "C:\php\www\h5\api" ServerName wx.iguojin.com ServerAlias SSLEngine on #SSLProtocol TLSv1 TLSv1.1 TLSv1.2 SSLProtocol all -SSLv2 -SSLv3 #SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5 SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL SSLCertificateFile "C:/php/Apache/conf/ss...

php apache 配置 https ssl phpstudy 开启 Forward Secrecy 前向保密

SSL HTTPS检测获得A+的方法检测地址 https://www.ssllabs.com/ssltest/ apache版本 2.4 开启php的openssl模块开启apache的ssl模块一般大家是用apache虚拟机的增加如下配置 1234567891011121314151617181920212223242526272829Listen 443<VirtualHost *:443> DocumentRoot "C:\php\www" ServerName iguojin.com ServerAlias # 开启HSTS长期有效 Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" # 开启SSL SSLEngine on # 添加SSL协议支持协议 SSLProtocol all -SSLv2 -SSLv3 # 服务器...

记录一个ssl 证书灵异事件 https IOS能用安卓不能用

我从腾讯云申请了一个免费的ssl证书结果配置好后 IOS能用安卓打不开一直不知什么原因服务器是 oneinstack 一键安装的今晚做了两个操作我从阿里云重新了这个域名的ssl证书被驳回同时我又在服务器用oneinstack 一键vhost新建了https的站点这时神奇的事出现了之前安卓不能用的https网站现在安卓能用了

数据加载中