我可以为1个子域打开HSTS吗

8

我只想对1个子域而不是整个域强制执行HSTS，这可能吗？

xxx.yyy.com -> HSTS on
zzz.yyy.com -> HSTS off
    yyy.com -> HSTS off

ssl http https

— 总价
source

1

推荐阅读：Wikipedia页面和RFC本身。Wikipedia页面中有各种Web服务器的实现代码，而RFC中则是您问题的答案。

— Ladadadada

@Ladadadada，除了RFC以外，IMO对域还不够清楚。在此问题中，域始终是yyy.com，还是从xxx.yyy.com发行sts标头仅适用于* .xxx.yyy.com（因此将xxx.yyy.com视为“域”）？

— bvgheluwe

Answers:

15

是。

Strict-Transport-Security仅发送标头xxx.yyy.com，而不指定includeSubDomains。在这种情况下
，正确处理HSTS的浏览器将只为指定的子域（xxx.yyy.com）设置要求。

— voretaq7
source

2

我只是好奇，如果会发生什么，Strict-Transport-Security在xxx.yyy.com 做了包括includeSubDomains？那不只会影响*.xxx.yyy.com吗？

— 亚伦·吉布勒特

1

@AaronGibralter这就是我的理解（我对原始问题的解释是“ 仅针对xxx.yyy.com”，这就是为什么我说不设置includeSubDomains）-如果您希望的子域xxx.yyy.com也强制执行HSTS，则应includeSubDomains在标题中进行设置。

— voretaq7 2015年

2

如果includeSubDomains存在，xxx.yyy.com是否还会影响*.yyy.com？（即，zzz.yyy.com如果不接受HTTPS，它将中断）吗？

— mg007

我可以确认这一点。我的银行有www.bank.com和homebanking.bank.com。这些是浏览器的hsts列表中的单独条目，并且彼此独立创建。可以通过chrome：// net-internals /＃hsts->“查询HSTS / PKP域”来搜索Chrome的hsts列表（请注意，这是一个精确的搜索：“ bank”未产生结果）。

— bvgheluwe

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.

Licensed under cc by-sa 3.0 with attribution required.