Мне трудно понять, что это означает, когда у меня есть заголовок ответа Non-Authoritative-Reason : HSTS
Я много искал, но просто придумал некоторые объяснения о HSTS (перенаправление с HTTP на HTTPS). Может ли кто-нибудь помочь мне в этом? Кстати, я использую Chrome.
Спасибо
Сервер, с которым вы пытаетесь установить соединение, использует строго-транспортную безопасность (HSTS), чтобы гарантировать, что https используется только с этим сайтом, а не по умолчанию.
Это означает, что если вы введете http://www.servername.com, то Chrome автоматически преобразует его в https://www.servername.com.
Это функция безопасности для предотвращения использования http, которая является незашифрованной и которая может быть прочитана и изменена хакером. Это может быть задано сервером, сообщающим Chrome (через специальный HTTP-заголовок, отправленный в ответ на запросы), который использует HSTS. Этот параметр затем кэшируется Chrome за заданный промежуток времени, определенный в значении максимального возраста в этом заголовке. Кроме того, владелец сайта может отправить свой сайт в список предварительной загрузки, который автоматически включается в Chrome, что защищает даже первый визит, так как обычно вам нужно посетить сайт, чтобы получить заголовок, чтобы активировать его.
Способ, которым Chrome показывает это на вкладке сети, - это создание фиктивного ответа 307 с перенаправлением на https-версию адреса. Но это поддельный ответ и не генерируется сервером - на самом деле Chrome сделал это внутри, прежде чем запрос даже отправился на сервер.
Чтобы очистить этот параметр для сайта, вы можете ввести следующее в поле URL-адреса Chrome: chrome://net-internals/#hsts, а затем выполните поиск своего сайта и удалите его. Вы также можете установить это в домен верхнего уровня и включить субдомены, поэтому вам может потребоваться удалить его. В качестве альтернативы вы можете просто изменить конфигурацию своего сервера, чтобы опубликовать заголовок с максимальным возрастом 0 и пересмотреть сайт, чтобы очистить его, а затем прекратить публикацию заголовка, что может быть полезно для других браузеров, где это не так легко очистить.
Примечание. Вы не можете очистить этот параметр, если сайт включен в список предварительной загрузки, поскольку он встроен в код веб-браузера. Владелец сайта может отправить запрос на удаление из списка предварительной загрузки, но для прохождения цикла выпуска для Chrome требуется несколько месяцев, а для других браузеров не определена временная шкала. Chrome также не дает возможности переопределить предварительно загруженные настройки - по соображениям безопасности.
Дополнительная информация для ответа BazzaDP...
Non-Authoritative-Reason : HSTS, возвращенный в ответе, не является тем, что вы настроили, а скорее сам Chrome. Поскольку Chrome захватывает запрос, Chrome также добавит этот конкретный заголовок, чтобы сообщить, что HSTS включен. Глядя на вкладку сети, вы увидите фальшивый ответ 307 с этим набором заголовков.
Все это делается, поскольку вы включили заголовок Strict-Transport-Security на свой сервер.
Если вы хотите пройти все, здесь Список предварительной загрузки HSTS
Согласно MDN (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security):
Заголовок
Strict-Transport-Securityигнорируется браузером, когда к вашему сайту обращаются по HTTP; это потому, что злоумышленник может перехватить HTTP-соединения и внедрить заголовок или удалить его
И рекомендации по развертыванию списка предварительной загрузки HSTS упоминают:
Добавьте заголовок
Strict-Transport-Securityко всем ответам HTTPS
На HTML5 Boilerplate показано, как настроить только Strict-Transport-Security через HTTPS (в apache):
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteCond %{HTTP_HOST} ^www\.(.+)$ [NC]
RewriteRule ^ %{ENV:PROTO}://%1%{REQUEST_URI} [R=301,L]
</IfModule>