У нас были некоторые неуместные заголовки http на наших сайтах, настроенные примерно на один день, что создает проблемы на некоторых из наших поддоменов. Устранить эту ошибку довольно сложно, потому что отправленные нами заголовки действительны в течение длительного времени (182,5 дня (!)), И поэтому мы не можем попросить каждого пользователя сбросить весь кеш браузера.
Можно ли настроить nginx vhost для принудительной перезаписи всех старых заголовков http? Итак, если пользователь снова заходит на основной сайт, он получает новые правильные заголовки?
Заголовки, которые мы отправили:
add_header Strict-Transport-Security "max-age=15768000; preload;";
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Robots-Tag none;
Это не проблема на стороне сервера. Вот как работает Strict-Transport-Security, и если бы этого не было, это было бы бесполезно - это браузеры запоминают этот параметр, и вы ничего не можете сделать, когда посетители их увидят. Решение состоит в том, чтобы быть очень осторожным и не устанавливать этот заголовок, если вы действительно это не имеете в виду.
Тем не менее, есть простой обходной путь: обслуживайте все через SSL, и это перестает быть проблемой.