Tivemos alguns cabeçalhos HTTP mal colocados nos nossos sites configurados para cerca de um dia, o que cria problemas em alguns dos nossos subdomínios. Resolver essa falha é muito difícil porque os cabeçalhos que enviamos são válidos por um longo tempo (182,5 dias (!)) E, portanto, não podemos pedir a todos os usuários para redefinir o cache inteiro do navegador.
É possível definir nginx vhost para sobrescrever todos os cabeçalhos http antigos? Então, se um usuário visitar o site principal novamente, ele receberá os novos cabeçalhos corretos?
Os cabeçalhos que enviamos:
add_header Strict-Transport-Security "max-age=15768000; preload;";
add_header X-Content-Type-Options nosniff;
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Robots-Tag none;
Não é um problema do lado do servidor. É assim que o Strict-Transport-Security funciona, e se não funcionasse, seria inútil - são navegadores que lembram dessa configuração e não há nada que você possa fazer depois que os visitantes os viram. A solução é ter muito cuidado e não definir esse cabeçalho a menos que você realmente queira.
Dito isso, há uma solução simples: atende tudo por SSL e deixa de ser um problema.
Tags nginx http http-headers