Коллеги столкнулись с проблемой когда захотели ввести принудительный https на сайте http://devconf.ru/
Вылечилось только
Браузеры хранят эту настройку где-то глубоко внутри - так что осторожней с этой опцией!
Код:
add_header Strict-Transport-Security "max-age=15768000";
add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";
Код:
add_header Strict-Transport-Security "max-age=0";
#add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";