我需要在我的网络服务器上激活 HSTS。但是,如果用户通过在我的“您接受我们的 cookie 吗”警报中单击“否”来不允许 cookie,我该怎么办?
理论上我可以在这种情况下禁用 HSTS 还是它始终处于事件状态? 我知道这没有意义,但是它有效吗?
最佳答案
这是不可能的,因为先有鸡还是先有蛋的问题。 HSTS 是服务器发送的 header 。服务器知道省略该 header 的唯一方法是客户端是否在请求中发送了一些可以发出信号的内容。没有“选择退出 HSTS”请求 header ,因此它必须是永久存储的其他内容,例如……cookie。这显然违背了目的。
此外,服务器将无法在任何首次访问时设置 HSTS header 。这恰恰违背了 HSTS 的目的。
关于javascript - 如果用户不接受 cookie,则禁用 HTTP 严格传输安全 (HSTS),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53848697/