5
如何仅在HTTPS上从.htaccess设置HSTS标头
关闭。此问题不符合堆栈溢出准则。它当前不接受答案。 想改善这个问题吗?更新问题,使其成为Stack Overflow的主题。 6个月前关闭。 改善这个问题 我的Web应用程序在我控制的不同数量的主机上运行。为了避免需要更改每个虚拟主机的Apache配置,我在仓库中使用.htaccess文件添加了大多数配置,因此每个主机的基本设置仅需几行。这也使得在部署新版本时可以更改配置。目前,.htaccess(un)设置标头,进行一些重写魔术并控制UA的缓存。 我想使用.htaccess在应用程序中启用HSTS。设置标题很容易: Header always set Strict-Transport-Security "max-age=31536000" 但是规范明确指出:“ HSTS主机不得在通过非安全传输传递的HTTP响应中包含STS头字段。” 所以我不想在通过HTTP连接发送标头时发送标头。参见http://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec-14。 我尝试使用环境变量设置标头,但是我被卡在那里。有谁知道该怎么做?