Я использую HSTS с этим заголовком на своем веб-сайте:
Strict-Transport-Security: max-age=15768000; includeSubDomains
Это работает по назначению и заставляет браузер перенаправлять все HTTP-соединения на https.
В документации на https://tools.ietf.org/html/rfc6797#section-6.1.2 Я не нашел способа исключить указанные поддомены!
Я уже пробовал добавить max-age=0 для поддомена, но не перезаписывает includeSubDomains
Можно ли исключить поддомены из includeSubDomains правило? Или это единственный способ удалить это правило и просто использовать заголовок HSTS для некоторых веб-сайтов? PS: Мой веб-сервер - NGINX, и я тестировал его поведение с помощью Firefox и Chrome.
Нет:
Я думаю, что один из пунктов includeSubdomains состоит в том, чтобы гарантировать, что злоумышленник не сможет захватить файлы cookie и т. д., заставив конечного пользователя загрузить поддомен через простой http, а затем их. Если бы было хотя бы одно исключение из includeSubdomains тогда это было бы бесполезно (при условии, что злоумышленник может выяснить, что это за исключение).