Tag: mod headers

如何仅在HTTPS上从.htaccess设置HSTS标头

我的Web应用程序运行在我控制的不同数量的主机上。 为了防止需要更改每个虚拟主机的Apacheconfiguration，我使用.htaccess文件在我的回购中添加了大部分configuration，所以每个主机的基本设置只是几行。 这也可以在部署新版本时更改configuration。 目前.htaccess（联合国）设置标题，做一些重写魔术，并控制UA的caching。 我想在使用.htaccess的应用程序中启用HSTS。 只需设置标题很容易： Header always set Strict-Transport-Security "max-age=31536000" 但是规范明确指出：“一个HSTS主机不能在通过非安全传输传送的HTTP响应中包含STS头域”。 所以我不想通过HTTP连接发送标题。 请参阅http://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec-14 。 我试图使用环境variables设置标题，但我卡在那里。 任何人知道如何做到这一点？