关于apache hsts的问题

在使用apache httpd的ssl的时候有可能会出现如下的问题:

apache负载均衡需要使用ssl的时候,使用自签名证书,在访问地址的时候可能没有问题,但是在使用腾讯申请的免费的ssl证书的时候,会发现在访问https是没有什么问题的,但是在访问http的时候就会发现http会默认的跳转为https;

这个问题是 HTTP 严格传输安全协议导致的问题,在访问地址的响应头中包含相应的 Strict-Transport-Security: max-age=31536000; includeSubDomains,那么对应的 http 地址就会默认的转为 https 地址

因为这个问题,所以我在 apache 的 http.conf 文件中添加如下的配置,让 hsts 失效


    
        Header unset Strict-Transport-Security
        Header always set Strict-Transport-Security "max-age=0;includeSubDomains"
    


if 在 apache 中有可能是无效的,这个跟版本有关系,如果无效删除 if 即可

你可能感兴趣的:(随笔,apache)