【问题标题】:How can I turn off includeSubDomains for HSTS in rails?如何在 Rails 中关闭 HSTS 的 includeSubDomains?
【发布时间】:2017-01-07 18:54:32
【问题描述】:

我不想要includeSubDomains 选项

➔ curl -s --head https://example.com/ |grep Strict 
Strict-Transport-Security: max-age=15552000; includeSubDomains

这似乎不起作用:

config.force_ssl = true
config.ssl_options = { hsts: { subdomains: false } }

我做错了什么?

Rails 5.0.1

【问题讨论】:

    标签: ruby-on-rails ssl https hsts


    【解决方案1】:

    问题原来是 Rails 5 有一个初始化器 new_framework_defaults.rb,它有这样一行:

    Rails.application.config.ssl_options = { hsts: { subdomains: true } }
    

    因为它在初始化程序中,所以无论您在环境配置中放置什么,这些设置都没有效果。我在这里打开了一个关于此的问题:https://github.com/rails/rails/issues/27638

    【讨论】:

      【解决方案2】:

      我强烈建议您使用secureheaders gem,以便您更好地控制这些标头(以及其他类似标头)。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2014-07-31
        • 2010-12-07
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多