我正在实施HSTS。 https://hstspreload.org/的检查告诉我一切都很好,但是我通过HTTP提供了HSTS标头,这是不必要的。
警告:HTTP上不必要的HSTS标头www.domain.com上的HTTP页面发送HSTS标头。这对HTTP无效,应将其删除。
现在,我不认为这是个大问题,但是我内心深的天性想解决它。我看到this线程成功解决了它,但是我想问一下如何在IIS上实现它。我在Windwos上运行IIS。非常感谢您的帮助
取决于您如何生成HSTS标头。
案例1:标头是由您的应用程序生成的,如asp.net core。
然后您可以从应用程序中删除useHSTS
案例2:标头由IIS自定义响应标头生成
请从您的web.config-> httpprotocol / customheaders部分中将其删除。
案例3:IIS 10 HSTS已启用。
您可以从applicationhost.config-> sites / site / HSTS禁用它。将其设置为false。
URL重写可用于添加响应头或重写其值。但是它不能用于删除整个标题。