Назад | Перейти на главную страницу

IMG, загруженный из домена HSTS на сайт без HTTPS, ломает сайт

Будет ли HSTS вызывать перенаправление всего сайта (браузера) на его HTTPS-копию, если один (или несколько) ресурсов из домена HSTS был вставлен в HTTP-сайт - например, через тег img?

У нас есть http://subdomain.example.com загрузка изображения из http(s)://www.example.com а затем неправильно http://subdomain.example.com перенаправляет на http(s)://subdomain.example.com (что приводит к поломке страницы - она ​​вообще не загружается) при загрузке изображения. Если мы удалим изображение из HTML, сайт будет работать правильно.

Это ожидаемое поведение и суть HSTS?

Примечание: мы видим www.example.com и example.com в кеше / хранилище HSTS браузера, когда сайт загружает изображение. Очистка этого заставляет сайт работать нормально, но последующие перезагрузки страницы затем прерываются (при условии, что браузер идентифицировал HSTS один раз, а последующие вызовы будут перенаправлены в соответствии с политикой / характером HSTS).