ruby-on-rails - 如何禁用 HTTP 严格传输安全？

Question

我有一个带有 config.force_ssl = true 的 Rails 应用程序，但现在我不想使用 SSL 加密，但我的应用程序仍在重定向到 https。我读到这是 Apache 上的 HTTP 严格传输安全问题。我怎样才能禁用它？

Answer 1

这不是 Apache 的问题，而是 Rails 发送 HSTS header 的事实。

在 Chrome 中，您可以通过进入 about:net-internals 清除 HSTS 状态，如 ImperialViolet: HSTS UI in Chrome 中所述。 .您可能还必须清除缓存，因为 config.force_ssl = true 还使用 301(永久)重定向。

此外，根据this answer ，您还可以让您的应用程序发送一个带有 max-age=0 的 STS header 。在你的 Controller 中:

response.headers["Strict-Transport-Security"] = 'max-age=0'