在Apache服务器上取消设置HSTS策略或使其过期

Question

我在我的服务器上的ssl vhost中设置了这一行。我运行的是Apache 2.x

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"

这是一个重大的错误，因为现在我想删除它，并强制用户有时返回http页面。它没有启用很长时间，但我不想失去任何人。如果我现在试图强迫用户返回到http页面，他们就会陷入重定向循环。

如何使用服务器上的设置取消设置http或使其过期，以便当用户访问站点并访问站点的https版本时，会从他们的浏览器中删除严格传输安全设置，并且他们可以重定向到hit

我已经知道我犯了一个愚蠢的错误。我吸取了教训，现在只需要把它清理干净。

Answer 1

弄清楚了：

注意: max-age值为零(即"max-age=0")通知UA停止将该主机视为已知HSTS主机，包括includeSubDomains指令(如果为该HSTS主机断言的话)。另请参见第8.1节(“严格传输安全响应报头字段处理”)。

从RFC 6797文档中。

因此，我将只设置以下行，并在删除它之前将其保留几个月。

Header always set Strict-Transport-Security "max-age=0; includeSubDomains"