【问题标题】:The site specified an invalid Strict-Transport-Security header - firebug该站点指定了无效的 Strict-Transport-Security 标头 - firebug
【发布时间】:2015-04-06 16:27:43
【问题描述】:

添加 HSTS 标头时,我在 firebug 中收到此警告。

The site specified an invalid Strict-Transport-Security header.

这是我的 htaccess

<IfModule mod_headers.c>
    Header append X-FRAME-OPTIONS: SAMEORIGIN
    Header append Strict-Transport-Security: 'max-age=31536000; includeSubDomains'
</IfModule>

当我从值中删除引号时,我得到Internal Server Error。 网站通过 https 提供服务,从 http 到 https 的重定向是从 apache 的站点文件中设置的。 SSL 证书是自签名的,如果重要的话。

mod 标头已启用。我在 debian 7,apache 2.2 上。

谢谢

【问题讨论】:

  • 如果您关注owasp.org/index.php/HTTP_Strict_Transport_Security 与:Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" 怎么办?
  • @jhutar,感谢评论,刚刚尝试过,同样的事情......
  • 好的,在我的情况下刚刚解决了。在使用自签名证书访问某些开发服务器时,我在 Firefox 的控制台中看到了该错误。当我导入服务器的 CA 证书并删除我之前为该服务器添加的异常时,错误消失了。
  • @jhutar,是的,我正在使用自签名证书进行开发,将在使用真实证书投入生产时对其进行检查,感谢您提供信息
  • 或者您可以像我一样导入用于签署您的 httpd 证书的 CA 证书。为我工作

标签: apache .htaccess http-headers firebug


【解决方案1】:

正如@jhutar 在 cmets 中提到的,在我的情况下,类似地,当我使用受信任的 SSL 证书在主域上设置站点时,问题就消失了。因此,萤火虫仅针对自签名(和/或不受信任)SSL 证书显示该错误。

【讨论】:

    猜你喜欢
    • 2018-04-05
    • 2016-07-12
    • 2019-03-07
    • 1970-01-01
    • 2019-05-17
    • 1970-01-01
    • 1970-01-01
    • 2014-02-23
    • 1970-01-01
    相关资源
    最近更新 更多