最近有个站点
开启了HSTS
带来的好处是浏览器自动跳转为https

但是有新的问题产生

跨域Origin

为解决跨域问题我使用Access-Control-Allow-Origin
由于HSTS 会让浏览器自动307跳转后ajax请求没有Origin字段
造成无法跨域

关闭HSTS

关闭HSTS 不能简单的不发送这个头
而是要配置apahce

Header always set Strict-Transport-Security "max-age=0"

否则之前HSTS过期之前，浏览器会一直使用HTTPS

开启

Header always set Strict-Transport-Security "max-age=0; includeSubdomains; preload"

教训

2019-03-22
今天竟然又犯了这个错误
如果确认已经把这个功能关掉，可以本机删除一下chrome hsts缓存

chrome://net-internals/#hsts

最后更新于 2019-03-22 10:20:22 并被添加「https 开启HSTS 带来的问题」标签，已有 559 位童鞋阅读过。

相关文章

• apache windows 无法开启 https 错误记录
• 记录一个ssl 证书 灵异事件 https IOS能用 安卓不能用
• php apache 配置 https ssl phpstudy 开启 Forward Secrecy 前向保密