我有一个带有 config.force_ssl = true
的 Rails 应用程序,但现在我不想使用 SSL 加密,但我的应用程序仍在重定向到 https。我读到这是 Apache 上的 HTTP 严格传输安全问题。我怎样才能禁用它?
最佳答案
这不是 Apache 的问题,而是 Rails 发送 HSTS header 的事实。
在 Chrome 中,您可以通过进入 about:net-internals
清除 HSTS 状态,如 ImperialViolet: HSTS UI in Chrome 中所述。 .您可能还必须清除缓存,因为 config.force_ssl = true
还使用 301(永久)重定向。
此外,根据this answer ,您还可以让您的应用程序发送一个带有 max-age=0 的 STS header 。在你的 Controller 中:
response.headers["Strict-Transport-Security"] = 'max-age=0'
关于ruby-on-rails - 如何禁用 HTTP 严格传输安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10629397/