【发布时间】:2015-04-06 16:27:43
【问题描述】:
添加 HSTS 标头时,我在 firebug 中收到此警告。
The site specified an invalid Strict-Transport-Security header.
这是我的 htaccess
<IfModule mod_headers.c>
Header append X-FRAME-OPTIONS: SAMEORIGIN
Header append Strict-Transport-Security: 'max-age=31536000; includeSubDomains'
</IfModule>
当我从值中删除引号时,我得到Internal Server Error。
网站通过 https 提供服务,从 http 到 https 的重定向是从 apache 的站点文件中设置的。 SSL 证书是自签名的,如果重要的话。
mod 标头已启用。我在 debian 7,apache 2.2 上。
谢谢
【问题讨论】:
-
如果您关注owasp.org/index.php/HTTP_Strict_Transport_Security 与:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"怎么办? -
@jhutar,感谢评论,刚刚尝试过,同样的事情......
-
好的,在我的情况下刚刚解决了。在使用自签名证书访问某些开发服务器时,我在 Firefox 的控制台中看到了该错误。当我导入服务器的 CA 证书并删除我之前为该服务器添加的异常时,错误消失了。
-
@jhutar,是的,我正在使用自签名证书进行开发,将在使用真实证书投入生产时对其进行检查,感谢您提供信息
-
或者您可以像我一样导入用于签署您的 httpd 证书的 CA 证书。为我工作
标签: apache .htaccess http-headers firebug