HSTS header 未出现在图像 /JS/CSS 文件中
HSTS header is not seen in image /JS/CSS files
我在我的 .htaccess 文件中添加了以下行来设置 HSTS header
Header always set Strict-Transport-Security "max-age=63072000;includeSubDomains;"
为了测试 HSTS header,我完成了以下步骤:
- 在 chrome 浏览器中访问应用程序
- 打开开发者工具,查看Response headers
中的HSTS header
第一次访问应用程序并在开发者工具中验证时,我可以在所有 PHP 文件、图像文件、CSS 文件中看到 HSTS header , 和 JS 文件。
当我再次加载应用程序时,我可以看到图像、CSS 和 JS 文件是从 memory/disk 缓存中加载的,并且这些文件缺少 HSTS header 作为响应 header秒。
但是,PHP 文件仍然在响应 header 中显示 HSTS header。
接受资源文件(image/CSS/JS 个文件)中缺少的 HSTS header?或者它被认为是安全漏洞?如果是这样,我该如何解决?
提前致谢
HSTS header 背后的理念是始终通过加密连接下载内容。
文件下载并放入您的 memory/disk 缓存后,它们将不再加密。
当您的浏览器从 memory/disk 缓存中获取文件时,也不需要通过任何连接下载这些文件。 memory/disk 缓存是受信任的资源。这就是为什么不需要 HSTS header。
我在我的 .htaccess 文件中添加了以下行来设置 HSTS header
Header always set Strict-Transport-Security "max-age=63072000;includeSubDomains;"
为了测试 HSTS header,我完成了以下步骤:
- 在 chrome 浏览器中访问应用程序
- 打开开发者工具,查看Response headers 中的HSTS header
第一次访问应用程序并在开发者工具中验证时,我可以在所有 PHP 文件、图像文件、CSS 文件中看到 HSTS header , 和 JS 文件。 当我再次加载应用程序时,我可以看到图像、CSS 和 JS 文件是从 memory/disk 缓存中加载的,并且这些文件缺少 HSTS header 作为响应 header秒。 但是,PHP 文件仍然在响应 header 中显示 HSTS header。
接受资源文件(image/CSS/JS 个文件)中缺少的 HSTS header?或者它被认为是安全漏洞?如果是这样,我该如何解决?
提前致谢
HSTS header 背后的理念是始终通过加密连接下载内容。
文件下载并放入您的 memory/disk 缓存后,它们将不再加密。
当您的浏览器从 memory/disk 缓存中获取文件时,也不需要通过任何连接下载这些文件。 memory/disk 缓存是受信任的资源。这就是为什么不需要 HSTS header。