Sto avendo difficoltà a trovare che cosa significa quando ho l'intestazione di risposta Non-Authoritative-Reason : HSTSnon autorevole-Motivo campo di intestazione [HTTP]
Ho cercato molto, ma appena si avvicinò con alcune spiegazioni circa HSTS (reindirizzamento da HTTP a HTTPS). Qualcuno mi può aiutare con questo? Dal modo in cui sto usando Chrome.
Grazie
Il server che si sta tentando di connettersi con gli usi rigoroso-trasporto-sicurezza (HSTS) per garantire HTTPS solo viene utilizzato con questo sito piuttosto che il http predefinita.
Ciò significa che se inserisci http://www.servername.com allora Chrome lo convertirà automaticamente in https://www.servername.com.
Questa è una funzione di sicurezza per impedire l'uso di http, che non è crittografato e che può essere letto e modificato da un hacker. Questo può essere impostato dal server che comunica a Chrome (tramite una speciale intestazione HTTP inviata in risposta alle richieste) che utilizza HSTS. Questa impostazione viene quindi memorizzata nella cache da Chrome per il periodo di tempo specificato, come definito nel valore max-age in tale intestazione. Inoltre, il proprietario del sito può inviare il proprio sito a un elenco di precaricamento che viene automaticamente incluso in Chrome, che protegge anche la prima visita, poiché normalmente è necessario visitare il sito per ricevere l'intestazione per attivarla.
Il modo in cui Chrome mostra questo nella scheda di rete è creando una risposta fittizia 307 con un reindirizzamento alla versione https dell'indirizzo. Ma questa è una risposta falsa e non viene generata dal server - la realtà è che Chrome l'ha fatto internamente prima che la richiesta arrivasse anche al server.
Per cancellare questa impostazione per un sito è possibile digitare quanto segue nel campo URL di Chrome: chrome://net-internals/#hsts e quindi cercare il sito ed eliminarlo. Puoi anche impostarlo in un dominio di primo livello e includere sottodomini, quindi potresti dover eliminare da lì. In alternativa puoi semplicemente modificare la configurazione del server per pubblicare l'intestazione con un limite massimo di 0 e visitare di nuovo il sito per cancellarlo, quindi interrompere la pubblicazione dell'intestazione, che può essere utile per altri browser in cui non è altrettanto facile eliminarlo.
Nota non è possibile cancellare questa impostazione se un sito è presente nell'elenco di precaricamento poiché questo è incorporato nel codice del browser web. Il proprietario del sito può inviare una richiesta per essere rimossa dall'elenco precaricato, ma questo richiede diversi mesi per passare attraverso il ciclo di rilascio per Chrome e nessuna linea temporale definita per altri browser. Chrome non consente in alcun modo di ignorare le impostazioni precaricate, per motivi di sicurezza.
Alcune informazioni aggiuntive alla risposta di BazzaDP ...
Il Non-Authoritative-Reason : HSTS restituito nella risposta non è qualcosa che hai configurato, ma piuttosto Chrome stesso. Poiché Chrome dirotta la richiesta, Chrome aggiungerà anche questa particolare intestazione per indicare che HSTS è abilitato. Guardando la scheda di rete, vedrai la risposta falsa 307 con questo set di intestazione.
Tutto ciò viene eseguito dal incluso l'intestazione Strict-Transport-Security sul server.
Se si vuole andare all-in, ecco la HSTS preload list
C'è un modo per cancellare la cache di Chrome di quali siti attivano questo? Sto eseguendo il debug della mia configurazione del proxy inverso Apache. – gogowitsch
Aggiunti dettagli alla mia risposta. –
Ecco l'elenco di precaricamento: https://hstspreload.org/ –