問題タブ [hsts]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
firefox - 安全でないため、Firefox は Vimeo プレーヤーをロードしません
Web アプリケーションに Vimeo プレーヤーを埋め込んでいます。
本番環境からアプリケーションを開くと、ビデオがロードされません。Firefox は、vimeo.com は安全ではなく、私の Web サイトには HTTP Strict Transport Security (HSTS) が必要であると述べています。
Vimeo は HSTS をサポートしていますか、それとも計画されていますか? 私はこれまで何も見つけることができませんでした。
google-chrome - Chrome と Safari が HPKP を尊重しない
サイトに HPKP ヘッダーを追加しましたが、Chrome または Safari で受け入れられません。プロキシを設定し、chrome://net-internals/#hsts自分のドメインにアクセスして探して手動でテストしましたが、見つかりませんでした。HPKP は正しいようです。また、HPKP ツールセットを使用してテストしたので、有効であることがわかりました。
私は自分の流れで何か変なことをしているかもしれないと思っています。で提供される Web アプリがありmyapp.example.comます。ログイン時に、アプリはユーザーをリダイレクトして、authserver.example.com/beginOpenID Connect 認証コード フローを開始します。HPKP ヘッダーは からのみ返されauthserver.example.com/beginます。これが問題である可能性があります。HPKPinclude-subdomainヘッダーにあるので、これは問題ではないと思います。
これは HPKP ヘッダーです (読みやすくするために改行が追加されています)。
ありがとう!