试图找到答案和规范似乎并没有实际帮助。
HSTS的规范说明了关于includeSubdomains标志的如下内容:
includeSubDomains is a flag which, if present, signals to the UA that
the HSTS Policy applies to this HSTS Server as well
as any subdomains of the server's FQDN.
我看到的所有示例都假设请求会转到例如example.com (没有指定子域),因
我使用弹性负载平衡和nginx在AWS上运行一组Rails服务器。当我在SSL实验室(http://ssllabs.com/ssltest)运行安全测试时,它会报告:
Invalid: Server provided more than one HSTS header
这是从哪里来的,如何将其配置为只报告一个HSTS标头?
我正在使用Checkmarx来分析我的项目,唯一剩下的中等严重性项目是Missing_HSTS_Filter,目标名称是HSTSFilter。在我的web.xml中,我有: <filter>
<filter-name>HSTSFilter</filter-name> <!-- checkmarx says problem is here -->
<filter-class>c.h.i.c.web.security.HSTSFilter</filter-class>
</filter>
<