我有一个使用自签名证书服务HTTPS的本地服务器。它不提供http。证书使用cn = host1.subdomain1.domain1颁发。服务器也可以在名称host2下访问。如果我打开https:// host2,我会收到警告,但我可以为证书定义一个例外,并可以访问服务器内容。服务器没有,也从未返回HSTS标头。如果我通过https://host1.subdomain1.domain1访问服务器,Firefox会发出HSTS警告并且不允许例外。domain1或subdomain1.domain1上的服务器可能会传送HSTS标头。可能他们也应用于子域。
但是:即使在清除历史记录和关于:权限条目之后,行为也是一样的。那么,HSTS信息来自哪里?