我们已激活HTTP Strict Transport Security in production。它运作良好。但是现在,当想要使用子域进行开发时,网站会自动重定向到https:
如果主机设置为127.0.0.1
,则为事件127.0.0.1 dev.tokeeen.com
有什么可以避免这种行为吗?当然我不想强迫主域名主持人。
答案 0 :(得分:1)
您目前正在主网站上设置此内容:
Strict-Transport-Security max-age=63072000; includeSubDomain
如果您更改此项以删除includeSubDomain位,那么它将仅适用于您的顶级域而不是dev子域:
Strict-Transport-Security max-age=63072000;
然后,您需要访问您的生产站点以加载此标头并覆盖浏览器缓存中的现有标头。
然而,这不太安全(例如,某人可能会设置www.tokeeen.com,假装是您的网站,例如有一些DNS操作)。
但说实话,你应该在你的开发网站上使用https。互联网正朝着HTTPS和many new features do not work under plain HTTP发展。此外,您正在开发的内容与您的生产站点不同,因此如果您包含http://链接而不是https://,例如,当您发布到生产环境时,您会突然看到此失败。
您希望在您的网站上使用LetsEncrypt,因此证书是免费的。帮自己一个忙,然后为你的开发子域获得另一个免费的。
答案 1 :(得分:0)
您必须获得wildcard certificate,因为ssl证书仅适用于该域。这是拥有安全网站的重点。
我不确定您使用的是哪种服务器系统但是如果您不想使用通配符并且安全性较低,则可以将其他域绑定到
使用port http `
binding type 80 <script> 80