Javascript 如果用户不接受cookie，请禁用HTTP严格传输安全（HSTS）

我需要在我的Web服务器上激活HST。但是，如果用户在我的“您接受我们的Cookie吗”警报中单击“否”而不允许使用Cookie，我该怎么办

理论上，我可以在这种情况下禁用HST，还是它始终处于活动状态？

---

我知道这没有道理，但它有效吗？

这是不可能的，因为有鸡和蛋的问题。HSTS是服务器发送的标头。服务器知道省略该头的唯一方法是，如果客户机在请求中发送了某个信号，则会发出该信号。没有“选择退出HSTS”请求头，所以它必须是永久存储的其他东西，比如…cookie。这显然违背了目的

---

此外，服务器将无法在任何首次访问时设置HSTS标头。而这恰恰违背了HST的目的。

这是不可能的，因为存在鸡和蛋的问题。HSTS是服务器发送的标头。服务器知道省略该头的唯一方法是，如果客户机在请求中发送了某个信号，则会发出该信号。没有“选择退出HSTS”请求头，所以它必须是永久存储的其他东西，比如…cookie。这显然违背了目的

---

此外，服务器将无法在任何首次访问时设置HSTS标头。而这恰恰违背了HST的目的。

如果用户不接受cookies，为什么要禁用HST？cookie与HST有什么关系？HST与cookie没有任何关系，除非你说的是一些人使用HST作为“超级cookie”（超级cookie），这更像是对HST工作方式的一种攻击，而不是你的cookie政策应该与IMHO有关……@GaborLengyel，因为欧洲的DSGVO。根据一些网站的说法，HSTS是一个“超级饼干”。这在这里有些出格，但坦白说，我觉得这是胡说八道。即使是DSGVO也允许您存储一些东西，特别是在技术需要的情况下。@Black我个人的观点是，它没有任何意义（但我理解，如果您真的想要的话，它可能会被误用）。HSTS不是“超级cookie”，您不应该禁用它。没有任何法规对此做出规定，任何安全最佳实践都会告诉您使用HST。如果用户不接受cookies，您为什么要禁用HST？cookie与HST有什么关系？HST与cookie没有任何关系，除非你说的是一些人使用HST作为“超级cookie”（超级cookie），这更像是对HST工作方式的一种攻击，而不是你的cookie政策应该与IMHO有关……@GaborLengyel，因为欧洲的DSGVO。根据一些网站的说法，HSTS是一个“超级饼干”。这在这里有些出格，但坦白说，我觉得这是胡说八道。即使是DSGVO也允许您存储一些东西，特别是在技术需要的情况下。@Black我个人的观点是，它没有任何意义（但我理解，如果您真的想要的话，它可能会被误用）。HSTS不是“超级cookie”，您不应该禁用它。没有任何法规对此做出规定，任何安全最佳实践都会告诉您使用HST。