5
HTTPSでのみ.htaccessからHSTSヘッダーを設定する方法[クローズ]
閉まっている。この質問は、StackOverflowのガイドラインを満たしていません。現在、回答を受け付けていません。 この質問を改善したいですか?質問を更新して、スタックオーバーフローのトピックになります。 8か月前に閉鎖されました。 この質問を改善する 私のWebアプリケーションは、私が制御するさまざまな数のホストで実行されます。各仮想ホストのApache構成を変更する必要がないように、リポジトリ内の.htaccessファイルを使用してほとんどの構成を追加し、各ホストの基本的なセットアップが数行になるようにします。これにより、新しいバージョンの展開時に構成を変更することもできます。現在、.htaccess(un)setsヘッダーは、いくつかの書き換え魔法を実行し、UAのキャッシュを制御します。 .htaccessを使用してアプリケーションでHSTSを有効にしたい。ヘッダーを設定するだけで簡単です。 Header always set Strict-Transport-Security "max-age=31536000" ただし、仕様には、「HSTSホストは、非セキュアトランスポートを介して伝達されるHTTP応答にSTSヘッダーフィールドを含めてはならない」と明確に記載されています。したがって、HTTP接続を介してヘッダーを送信するときにヘッダーを送信したくありません。http://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec-14を参照してください。 環境変数を使用してヘッダーを設定しようとしましたが、そこでスタックしました。それを行う方法を知っている人はいますか?