HSTS是否将所有资源升级到HTTPS，而不管域如何？

Question

我是添加到一个网站的HTTP严格传输安全头。

它是否阻止通过HTTP加载不属于同一域中的资源？

Answer 1

HSTS只适用于与其一起发送的域，如果还设置了includeSubDomains属性，则应用任何子域。

任何其他域都不受影响。

但是，需要注意的一点是，如果您的主域(www.example.com)使用与普通的裸域(example.com)相同的配置，那么您可以在这两个域上发出HSTS头(可能还没有意识到它也在裸域上)并使用includeSubDomains报头。如果是这样的话，那么您可以很容易地阻止对其他您不打算访问的域的访问，如果有人访问裸域，这些域仍然在http (例如http://blog.example.com或http://internal.example.com)上。

顺便说一句，如果您想将所有http请求升级到https，您可以使用内容安全策略(，CSP)，它具有升级-不安全-请求选项。然而，浏览器对此的支持还不是通用的。。您还可以使用CSP帮助您识别讨论过的这里中的混合内容。