Ignora o HSTS no navegador para um subdomínio

2

[copiado do link

Eu tenho meu DNS configurado para apontar local.example.com para 127.0.0.1. Isso é para que eu possa compartilhar cookies entre o site ao vivo e meu ambiente de desenvolvimento.

Com a HSTS ativada no site ativo, meu navegador tenta acessar automaticamente o site local no link que não funciona como o meu servidor dev não suporta SSL (eu tentei servir na porta 443).

Existe uma maneira de instruir meu navegador (Chromium) a ignorar a HSTS?

(Pelo que eu li, o includeSubDomains é muito importante para evitar ataques de seqüestro de cookie - basicamente eu só quero incluir a exceção do subdomínio para mim).

    
por EoghanM 13.10.2016 / 14:04

2 respostas

1

Não, não é possível adicionar exceções. Mas a HSTS apenas declara que deve haver um certificado válido, nada sobre qual certificado é (há um cabeçalho HPKP para isso), portanto você pode gerar seu próprio certificado assinado, importá-lo no chrome como certificado confiável e a HSTS funcionará bem no localhost .

    
por 13.10.2016 / 14:26
1

Não tenho certeza se isso ajuda na sua situação específica (e você está ciente dessa "solução"), mas uma maneira possível seria limpar o cache HSTS do navegador. Talvez também seja possível mapear isso para uma chave especial (combinação), o que tornaria mais fácil invocá-lo.

Veja como fazer isso com o Chromium:

  1. Feche todas as guias abertas relacionadas à página que está enfrentando o problema.
  2. Em uma nova guia, digite chrome://net-internals/#hsts .
  3. Localize o cabeçalho da seção "Consultar Domínio", insira o domínio que está apresentando o problema no campo de texto ao lado de "Domínio:" e pressione o botão Consulta .
  4. Todos os domínios exibidos abaixo da caixa de pesquisa terão de ser excluídos.
  5. Localize o cabeçalho da seção "Excluir domínio", insira o domínio que está apresentando o problema no campo de texto ao lado de "Domínio:" e pressione o botão Excluir
  6. .
  7. Repita as etapas 3 a 5 até que os resultados da consulta na etapa 3 declarem "Não encontrado".
  8. Feche o navegador e abra-o novamente. Seu problema agora deve ser resolvido.

Observação adicional: isso só funcionará se seu domínio não fizer parte da lista pré-carregada de HSTS .

    
por 17.10.2016 / 11:23