Understanding HTTP Strict Transport Security (HSTS) | 哈啦閒聊的時刻

IngramChen 積分 5

題外話…

Strict-Transport-Security: max-age=31536000; includeSubDomains

includeSubDomains 的立意良好，就是連所有的子網域都要求 https。

不過我發現實務上有時候會有問題…

比方說你做了個網站 https://kaif.io ，的確，這是新站，所以底下如果有 https://api.kaif.io 之類的的確應該一起保護...

不過，有時候你會整合外部的系統，例如 http://blog.kaif.io 其實是架在別的服務上，雖然它可以接受自訂 domain，但現階段還沒有辦法接上 https，要等半年之類的…

如果遇上這種事情一開始的 includeSubDomains 的決策就是錯的，而且無法回頭 (都存在 client 的 browser 裡了，清不掉)。

一個服務什麼時候會需要整合外部舊網站是很難說的，而舊服務要升級到 https 的時程更難預估 (技術債之所以是技術債… )。我們可不是活在完美的世界啊… (如果是完美的世界就通通都是 https 了，要 HSTS 幹嘛？)

個人建議實務上不要在 top domain 用 includeSubDomains，每個 domain 自己設自己的 HSTS 就好了，避免未來無法復原。

回應 7 years ago

這是文章的子討論串，你可以回到上層查看所有討論和文章

回上層

Kmark 是一個類似 Markdown 語法的格式，以下為提供的功能:

種類	語法	呈現
斜體	兩邊加單星	兩邊加單星
粗體	兩邊加雙星	兩邊加雙星
刪除線	~~兩邊加雙曲號~~	~~兩邊加雙曲號~~
引用	> 左邊加個大於符號	左邊加個大於符號
列表	* 可用星號 * 也可以 - 減號 * 數字加點也可以	可用星號也可以 - 減號數字加點也可以
固定寬字	`abcdefghijk` 兩邊用倒引號包住	`abcdefghijk`
編碼區塊	``` function abc() ``` 上下都用三個倒引號包住	`function abc()`
連結	[這是連結][1] [1]: http://example.com 連結第一部份是文字，先用中括號包住，後面再加上 [編號]。第二部份是連結本身，放在文末，開頭是 [編號]: http	這是連結1 1 http://example.com

Kmark 是一個類似 Markdown 語法的格式，以下為提供的功能:

種類	語法	呈現
斜體	兩邊加單星	兩邊加單星
粗體	兩邊加雙星	兩邊加雙星
刪除線	~~兩邊加雙曲號~~	~~兩邊加雙曲號~~
引用	> 左邊加個大於符號	左邊加個大於符號
列表	* 可用星號 * 也可以 - 減號 * 數字加點也可以	可用星號也可以 - 減號數字加點也可以
固定寬字	`abcdefghijk` 兩邊用倒引號包住	`abcdefghijk`
編碼區塊	``` function abc() ``` 上下都用三個倒引號包住	`function abc()`
連結	[這是連結][1] [1]: http://example.com 連結第一部份是文字，先用中括號包住，後面再加上 [編號]。第二部份是連結本身，放在文末，開頭是 [編號]: http	這是連結1 1 http://example.com