É possível desabilitar o redirecionamento de HSTS programaticamente?

1

Situação: site, suportando HTTP e HTTPS. A HSTS foi ativada. Alimentado pelo Apache 2.2.

Mais tarde, o proprietário do site decide usar apenas HTTPS em determinadas páginas (registro, pedidos, etc.). No entanto, o redirecionamento .htaccess falha, já que muitos navegadores de visitantes do site já receberam cabeçalhos HSTS e não mostram HTTP (levando a loops de redirecionamento ou a HTTPS usados em qualquer lugar).

É possível desabilitar redirecionamentos de HSTS programaticamente? A única receita de trabalho, para limpar todos os dados mantidos pelo navegador associados ao site, está longe de ser perfeita.

Foram feitas tentativas para enviar o cabeçalho como

Strict-Transport-Security: max-age=1;

e forçar o redirecionamento para HTTP após o intervalo definido (1 segundo) ter passado, mas parece que nem todos os navegadores podem ser enganados (loops de redirecionamento ainda acontecem).

A única solução é solicitar aos usuários que excluam manualmente os dados mencionados do site?

    
por Konstantin Boyandin 30.08.2016 / 15:50

2 respostas

2

De acordo com o link

"Nota: Um valor máximo de zero (isto é," max-age = 0 ") sinaliza o UA para           cesse o host como um host HSTS conhecido. "

Portanto, defina Strict-Transport-Security: max-age=0;

    
por 30.08.2016 / 16:44
3

Não, não é possível e nem mesmo deve ser possível, é novamente como o HSTS funciona. Por que o proprietário deseja desativar o suporte a https para páginas normais? Você deve explicar ao proprietário que o https está funcionando melhor quando usado em qualquer lugar.

    
por 30.08.2016 / 16:44

Tags