HSTSは「includeSubdomains」で特定のサブドメインを除外します
私は自分のウェブサイトでこのヘッダー付きのHSTSを使用しています:
Strict-Transport-Security: max-age=15768000; includeSubDomains
これは意図したとおりに機能し、ブラウザにすべてのhttp接続をhttpsにリダイレクトさせます。
https://tools.ietf.org/html/rfc6797#section-6.1.2 のドキュメントで、指定したサブドメインを除外する方法が見つかりませんでした!
サブドメインにmax-age=0を追加しようとしましたが、includeSubDomainsは上書きされません
includeSubDomainsルールからサブドメインを除外することは可能ですか?または、このルールを削除して、一部のWebサイトでHSTSヘッダーを使用する唯一の方法はありますか? PS:私のウェブサーバーはNGINXで、FirefoxとChromeで動作をテストしました。
番号:
includeSubdomainsのポイントの1つは、エンドユーザーにプレーンドメインのhttpを介してサブドメインをロードさせ、その後それらをロードさせることにより、攻撃者がcookieなどをハイジャックできないようにすることです。 includeSubdomainsに例外が1つでもあれば、それは役に立たないでしょう(攻撃者が例外を理解することが可能であると想定します)。