我的Web应用程序在我控制的不同数量的主机上运行。为了避免需要更改每个虚拟主机的Apache配置,我在仓库中使用.htaccess文件添加了大多数配置,因此每个主机的基本设置仅需几行。这也使得在部署新版本时可以更改配置。目前,.htaccess(un)设置标头,进行一些重写魔术并控制UA的缓存。
我想使用.htaccess在应用程序中启用HSTS。设置标题很容易:
Header always set Strict-Transport-Security "max-age=31536000"
但是规范明确指出:“ HSTS主机不得在通过非安全传输传递的HTTP响应中包含STS头字段。” 所以我不想在通过HTTP连接发送标头时发送标头。参见http://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec-14。
我尝试使用环境变量设置标头,但是我被卡在那里。有谁知道该怎么做?