我使用nginx为IP地址设置了证书,并启用了HTTP严格传输安全性:
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";
该指令位于标题中
HTTP/1.1 200 OK
Server: nginx
Date: Wed, 17 Sep 2014 22:46:54 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding
Access-Control-Allow-Origin: *
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Strict-Transport-Security: max-age=31536000; includeSubdomains;
X-UA-Compatible: IE=Edge,chrome=1
...但是浏览器并不尊重它(相反,它们对于FQDN确实如此)。
如果我对您的理解正确,可以将浏览器定向到IP地址(https://xx.xx.xx.xx/
)而不是域名,并期望它遵循HSTS规则?
但是RFC 6797附录A明确排除IP地址:
HSTS主机仅通过域名进行标识-排除所有形式的显式IP地址标识。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句