Ruby on rails 如何禁用HTTP严格传输安全性?
我有一个Rails应用程序,带有Ruby on rails 如何禁用HTTP严格传输安全性?,ruby-on-rails,apache,ssl,https,hsts,Ruby On Rails,Apache,Ssl,Https,Hsts,我有一个Rails应用程序,带有config.force\u ssl=true,但现在我不想要ssl加密,但我的应用程序仍在重定向到https。我听说这是Apache上HTTP严格的传输安全问题。如何禁用它?这不是Apache的问题,而是Rails发送HSTS头的事实 在Chrome中,您可以进入about:net internals,清除HSTS状态,如中所述。您可能还必须清除缓存,因为config.force\u ssl=true还使用301(永久)重定向 此外,根据,您还可以让应用程序发送
config.force\u ssl=trueabout:net internalsconfig.force\u ssl=trueresponse.headers["Strict-Transport-Security"] = 'max-age=0'
我只是想指出@Bruno的答案和@JoeVanDyk的建议是正确的,可以应用于Rails/Apache之外的环境。我正在使用PHP和Nginx。在我的例子中,PHP与此无关,但以下是Nginx的步骤:
//sorry here's the nginx.conf part first, can't figure out how to mix multi-line
//code with an ordered list
server {
#...
#change:
# add_header Strict-Transport-Security "max-age=315360000; includeSubdomains";
#to:
add_header Strict-Transport-Security "max-age=0;";
#...
}
root@ip-xxx xxx xxx:~#/etc/init.d/nginx restart在此之后,您可以将nginx
add_header Strict..chrome://net-internals/#hsts您可以通过设置/欺骗自定义头=>键来设置临时HSTS模式。基本上,如果存在一个特殊的请求头,并且它与一个键相匹配,那么将HSTS设置为您需要的缓存时间。这将允许您为除您之外的所有流量打开或关闭HST。用于在全局启用(确保所有资产都已加载)之前尝试HST。如果您想在修复某些内容时暂时清除客户端缓存(给您留有测试空间),这也很有用。我发现我无法在Chrome中删除HSTS条目,因为我正在使用IP地址进行开发。我似乎无法获取
chrome://net-internals/#hsts希望这能有所帮助。应该记录在案的是,一旦在Rails中启用“强制ssl”选项,禁用它的唯一方法就是让所有访问者清除浏览器缓存:(如果不是这样的话,您将很容易受到SSL剥离的攻击,这正是HSTS的设计目的。与Rails无关。不过,对于开发人员来说,这是值得一提的:)感谢您在HSTS规范中给出@BrunoIt的回答:Firefox浏览器清除HSTS缓存的唯一方法:在您的配置文件文件夹中找到并打开文件SiteSecurityServiceState.txt。此文件包含您访问过的域的缓存HST和HPKP(密钥锁定,一种单独的HTTPS机制)设置。它可能非常混乱。搜索要清除HSTS设置的域,并将其从文件中删除。每个条目都带有域名。删除从所需域名开始到下一个列出的域的全部条目。我应该补充一点,您不需要重新启动,而是需要重新加载。例如,
/etc/init.d/nginx reloadchrome://net-internals/#hsts严格传输安全性:max age=15552000严格传输安全性:max age=0