Apache 对重定向到https的http反向代理的严格传输安全影响_Apache_Hsts

Apache 对重定向到https的http反向代理的严格传输安全影响

apache

Apache 对重定向到https的http反向代理的严格传输安全影响,apache,hsts,Apache,Hsts,服务器响应附带HSTS头，由于我使用反向代理，HSTS头也通过代理响应发送。由于存在不同的域（代理和服务器），HST是否会使浏览器自动将架构从更改为？或者当用户请求时，预加载列表将自动调用 HSTS是否使浏览器自动将模式从http更改为https 真的！由于：反向代理HSTS报头也通过代理响应发送。。。反向代理的配置可能会不自觉地使您的域设置为HSTS头花了一些时间来了解为什么我的apache服务器设置HSTS头-因为我没有在apache web服务器中配置它。这是由于一个Reverse

服务器响应附带HSTS头，由于我使用反向代理，HSTS头也通过代理响应发送。由于存在不同的域（代理和服务器），HST是否会使浏览器自动将架构从更改为？或者当用户请求时，预加载列表将自动调用

HSTS是否使浏览器自动将模式从

http

更改为

https

真的！由于：

反向代理HSTS报头也通过代理响应发送

。。。反向代理的配置可能会不自觉地使您的域设置为

HSTS

头

花了一些时间来了解为什么我的apache服务器设置

HSTS

头-因为我没有在apache web服务器中配置它。这是由于一个

ReverseProxy

：当外域设置

HSTS

头时，这个头会与我的域名一起出现（反向代理！）。然后将其传播到存储它的客户端浏览器。因此，我的所有域的站点（本例中还有我的所有子域！）都必须使用

https

（当然不是在使用例如

curl

时，而是

firefox

，

chromium

等）

谢谢你的提问-这已经是一个完美的方向了

在我的例子中，我可以简单地使用

重写规则

而不是

反向代理

：），但这当然取决于您的场景

您在评论中也给出了正确的答案：

在这种情况下，我应该取消设置反向代理中的HSTS头

对!！只需直接在

ProxyPassReverse

指令后添加

Header unset Strict Transport Security

，您就可以使用反向代理，而无需继承

HSTS

头。

HSTS影响到加载它的域，因此，如果客户端只与反向代理对话，并且它看到example.com，则只会影响example.com。因此，如果用户只看到反向代理域，则会将HSTS头附加到反向代理域（反向代理从主服务器转发此头），对吗？在这种情况下，我应该取消设置反向代理中的HSTS头