HSTS实现

Question

我想在我的网站上实施HSTS，我确实有一些网页作为HTTPS和一些网页作为HTTP的要求为基础。我已经给出了添加HSTS的条件，只为HTTPS页面，而不是HTTP页面。

if (HttpContext.Current.Request.Url.Scheme.ToLower() == "https")
{
    response.Headers.Add("Strict-Transport-Security", 
        "max-age=31536000;includeSubDomains; preload");
}

在我添加了这段代码后，它显示了太多的重定向。

请让我知道我如何才能实现的HSTS，我们有一些页面HTTPS和一些页面HTTP。

Answer 1

我不认为你可以使用HSTS，如果你想让一些页面在相同的域名上没有https。HSTS指示客户端(浏览器)仅通过https访问服务器

有关更多信息，请访问维基百科https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security

当web应用程序向用户代理发出HSTS策略时，符合要求的用户代理的行为如下(RFC6797)：10

1. 会自动将引用web应用程序的任何不安全链接转换为安全链接。(例如，在访问服务器之前，http://example.com/some/page/将被修改为https://example.com/some/page/。)
2. 如果无法确保连接的安全性(例如，服务器的TLS证书不受信任)，则用户代理必须终止连接(RFC6797第8.4节，安全传输建立中的错误)，并且不应允许用户访问web应用程序(第12.1节，无用户追索权)。