У нас сайт на хттпс, но админу нужен доступ в хттп. И у нас после логина под админом случается бесконечное зацикливание - причина тому HTTP Strict Transport Security (HSTS).
В хроме она включена по умолчанию, а ФФ нужно включать, также поддержка есть у Safari и будет от Microsoft.
Сайты могут поддерживать и https и http одновременно, но страницы с уязвимыми данными от пользователя обслуживаются только в https, но пользователь может ввести урл без протокола или с незащищенным протоколом и передать уязвимые данные в сеть, где они могут быть перехваченными.
Для этого страницы под https могут добавлять заголовок:
chrome://net-internals/#hsts - включить/выключить, очистить кеш.
В хроме она включена по умолчанию, а ФФ нужно включать, также поддержка есть у Safari и будет от Microsoft.
Сайты могут поддерживать и https и http одновременно, но страницы с уязвимыми данными от пользователя обслуживаются только в https, но пользователь может ввести урл без протокола или с незащищенным протоколом и передать уязвимые данные в сеть, где они могут быть перехваченными.
Для этого страницы под https могут добавлять заголовок:
Strict-Transport-Security: max-age=16070400; includeSubDomainsТеперь браузер запоминает, что данный домен верхнего уровня должен быть только под https на указанное время. И браузер уже все запросы отправляет только по TSL.
chrome://net-internals/#hsts - включить/выключить, очистить кеш.
Комментариев нет:
Отправить комментарий