問題タブ [hsts]

私は最近、クライアントのために古いドメイン名で新しいサイトを構築しました。どうやら過去のある時点で誰かがドメインで HSTS を有効にしたため、アクセス時に「Your connection is not private」というエラーが表示された人もいました。これを回避するために、Let's Encrypt SSL証明書を取得して、

ヘッダーで、HSTS が設定されているブラウザーで HSTS を無効にします。

問題は、そのセットを使用しても、https を使用してサイトを閲覧できることです (有効な証明書があるため)。また、https でブックマークなどを作成することもできます。証明書の有効期限が切れると、これは問題になります (彼らはそれを必要としないので、私はそうします)。

そこで、.htaccess ファイルにリダイレクトを追加しました。

しかし、これらの両方を設定すると、リダイレクト ループが発生します。リダイレクトなしで HSTS 無効化コードを使用すると、一度サイトにアクセスして HSTS を無効にし、リダイレクトを再度追加してから、通常どおりアクセスできますが、明らかに、ユーザーごとにそれを行うことはできません。私の推測では、HSTS コードが .htaccess ファイルのリダイレクトの前に配置されていても、ブラウザーが HSTS を無効にする前にリダイレクトがトリガーされ、リダイレクト ループが発生します。

これを回避する方法はありますか？

ありがとう！

現在、Facebook API の呼び出しを含む Web サイトでデバッグを行っています。

Mac OS Xで動作するようにdnsmasqをインストールして、facebook.comへのすべてのリクエストを127.0.0.1にリダイレクトしました

ラップトップのポート 80 ですべての生の http 要求ヘッダーを出力するエコー サーバーがあります。

今私の問題が来ます。facebook.com にアクセスすると、Chrome が http:// を facebook.com の https:// に自動的に転送することに気付きました。

私はググって、このHSTSの問題を削除する方法を見つけました。私はこのようなものを見るために訪れchrome://net-internals#hstsます：

HSTS クロム画像

「ドメインの削除」の下に「facebook.com」と入力した後でも、下の入力ボックスで「facebook.com」を照会できます。

Chrome のすべてのユーザー データを消去し、Chrome を閉じてから再度開き、シークレット モードを使用してみました。

• Chrome がまだ facebook.com へのすべてのリクエストを https にリダイレクトしているのはなぜですか?

• chrome://net-internals#hsts信頼できない場合、これを無効にするにはどうすればよいですか?

フィルターで以下のコードを使用しましたが、http を https にすることはできません。私はgroovyに慣れていないので、resources.groovyに登録する必要があるかどうかわかりません。

同様に、X-Content-Type-Options も実装して調べる必要があります。

includeSubDomainsオプションいらない

これは機能していないようです：

私は何を間違っていますか？

レール 5.0.1