【发布时间】:2020-09-01 01:22:30
【问题描述】:
我有一个没有 HSTS 的带有 SSL 的 Nginx。 但在后端,很少有服务不是 https。 启用 HSTS 是否有任何潜在风险? 我担心当 HSTS 标头存在时,HSTS 标头会破坏内部路由,强制重定向到 HTTPS
例如
当前:
公众用户 -> https://www.123.com --- 内部服务 ---> Http://internalA.123.com -> Http://internalA.123.com
会变成下面吗?
公众用户->“https://www.123.com”---内部服务--->https://internalA.123.com->https://internalA.123.com
如果是,那么服务肯定会与HSTS中断
【问题讨论】: