Meine Webanwendung wird auf einer anderen Anzahl von Hosts ausgeführt, die ich kontrolliere. Um zu verhindern, dass die Apache-Konfiguration jedes vhost geändert werden muss, füge ich den größten Teil der Konfiguration hinzu, indem ich .htaccess-Dateien in meinem Repo verwende, so dass die Grundkonfiguration jedes Hosts nur aus ein paar Zeilen besteht. Dadurch ist es auch möglich, die Konfiguration bei der Bereitstellung einer neuen Version zu ändern. Momentan setzt der .htaccess (un) Header, schreibt etwas neu und kontrolliert das Caching des UA.So legen Sie HSTS-Header aus .htaccess nur auf HTTPS
Ich möchte HSTS in der Anwendung mit. Htaccess aktivieren. Nur die Header-Einstellung ist einfach:
Header always set Strict-Transport-Security "max-age=31536000"
Aber die Spezifikation eindeutig fest: „Eine HSTS-Host enthalten darf nicht das STS-Header-Feld in HTTP-Antworten über nicht-sicheren Transport befördert“. Daher möchte ich den Header nicht senden, wenn ich ihn über HTTP-Verbindungen sende. Siehe http://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec-14.
Ich habe versucht, den Header mit Umgebung Vars, aber ich steckte dort stecken. Wer weiß, wie man das macht?
Stack Overflow ist eine Website für Programmier- und Entwicklungsfragen. Diese Frage scheint off-topic zu sein, weil es nicht um Programmierung oder Entwicklung geht. Siehe [Welche Themen kann ich hier fragen?] (Http://stackoverflow.com/help/on-topic) in der Hilfe. Vielleicht [Super User] (http://superuser.com/) oder [Unix & Linux Stack Exchange] (http://unix.stackexchange.com/) wäre ein besserer Ort, um zu fragen. Siehe auch [Wo veröffentliche ich Fragen zu Dev Ops?] (Http://meta.stackexchange.com/q/134306) – jww
@jww Die .htaccess-Dateien sind Teil meines Webapp-Repos und werden von Entwicklern gepflegt, um das gewünschte Ergebnis zu erzielen Verhalten der Anwendung (zB Caching, Umschreiben von URLs und Setzen der richtigen Header). Die Frage wird hier fast 20K mal auf SO betrachtet (und [apache], [.htaccess] und [mod-header] Tags sind verfügbar). Also ich denke nicht, dass es hier um ein Thema geht. – nielsr
* "Die .htaccess-Dateien sind Teil meines Webapp-Repos und werden von Entwicklern verwaltet ..." * - Keine der Kriterien für die Aufnahme in Stack Overflow. Ein guter Sniff-Test ist, kannst du deinen Code zeigen? In diesem Fall lautet die Antwort NEIN. Nach der Untersuchung ist es nur eine Apache-Konfigurationsfrage. * "Die Frage wird fast 20K mal angesehen ..." * - Stack Overflow ist eine Müllhalde. Hier wird eine Off-Topic-Frage gestellt und dann von einer Suchmaschine indiziert.Andere Beispiele für das Phänomen sind [Übertragen von Dateien über SSH] (http://stackoverflow.com/q/343711). Entwickler verwenden SSH gelegentlich auch. – jww