Windows Server 2016 IIS 10 上不必要的 HSTS header over HTTP

Unnecessary HSTS header over HTTP on Windows Server 2016 IIS 10

我正在尝试在我的 Windows Server 2016 IIS 10 v14 上强制执行 hsts。我将以下代码添加到我的 web.config:

      <system.webServer>
        <rewrite>
          <rules>
            <rule name="HTTP to HTTPS redirect" stopProcessing="true">
              <match url="(.*)" />
              <conditions>
                <add input="{HTTPS}" pattern="off" ignoreCase="true" />
              </conditions>
              <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />         
             </rule>
           </rules>

           <outboundRules>
             <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
               <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
               <conditions>
                 <add input="{HTTPS}" pattern="on" ignoreCase="true" />
               </conditions>
               <action type="Rewrite" value="max-age=31536000; includeSubDomains; preload"/>
             </rule>
           </outboundRules>
         </rewrite>
       </system.webServer>

这在我的大多数网站上都没有问题,但是,在其中两个网站上,我收到警告:

Warning: Unnecessary HSTS header over HTTP
The HTTP page at http://sandairephotography.com sends an HSTS header. This has no effect over HTTP, and should be removed.

如何消除这种行为?

就我而言,我遵循了一个 pre-windows 服务器 2019 示例,该示例指导我通过我的网站个人 web.config 实施 HSTS(严格传输安全),如 posted以下。碰巧的是,生成警告的两个网站已经通过 IIS 管理器 HTTP 响应 Header 在本地设置为使用严格的传输安全,这是 Header 警告的来源。一旦我删除条目并重新启动网站,警告就消失了。显然,我正在使用 nopCommerce Web 平台(E-Commerce 模板),其主题添加了 http header 响应条目。

我打算 post 在 nopCommerce 论坛上提问,以确定这是否是正常行为。