Nginx HTTP Strict Transport Security или принудительный https

confguru · 7 Май 2015

Коллеги столкнулись с проблемой когда захотели ввести принудительный https на сайте http://devconf.ru/

Код:

add_header Strict-Transport-Security "max-age=15768000";
add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";

Вылечилось только

Код:

add_header Strict-Transport-Security "max-age=0";
#add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";

Браузеры хранят эту настройку где-то глубоко внутри - так что осторожней с этой опцией!

MiksIr · 7 Май 2015

Так в чем проблема то была?

confguru · 7 Май 2015

Не убирался из браузеров тех кто туда зашел и поймал этот хеадер (куки чистили не помогало)
Пока не выставили его в 0

MiksIr · 7 Май 2015

А, ну так логично

Куки же тоже явно удалять нужно, а HSTS - это такой флаг в браузере.
И как правило такой флаг редко снимают, если уж поставили.

Nginx HTTP Strict Transport Security или принудительный https

confguru

ExAdmin

MiksIr

miksir@home:~$

confguru

ExAdmin

MiksIr

miksir@home:~$