Ich habe Schwierigkeiten, herauszufinden, was es bedeutet, wenn ich die Antwort-Header haben Non-Authoritative-Reason : HSTSnicht autorisierenden-Reason-Header-Feld [HTTP]
ich viel gesucht, aber kam nur mit einigen Erklärungen über HSTS up (Umleitung von HTTP zu HTTPS). Kann mir jemand dabei helfen? Übrigens verwende ich Chrome.
Dank
Der Server, den Sie streng-Transport-Sicherheit (HSTS) zu versuchen, eine Verbindung mit verwendet https, um sicherzustellen, nur mit dieser Seite eher als das Standard-HTTP verwendet wird. Wenn Sie http://www.servername.com eingeben, wird Chrome dies automatisch in https://www.servername.com umwandeln.
Dies ist eine Sicherheitsfunktion, die die Verwendung von http verhindert, die unverschlüsselt ist und die von einem Hacker gelesen und geändert werden kann. Dies kann eingestellt werden, indem der Server Chrome (über einen speziellen HTTP-Header, der als Antwort auf Anforderungen gesendet wird) mitteilt, dass er HSTS verwendet. Diese Einstellung wird dann von Chrome für die angegebene Zeitspanne zwischengespeichert, die im Max-Age-Wert in diesem Header definiert ist. Darüber hinaus kann der Websitebesitzer seine Website einer vorab in Chrome enthaltenen Preload-Liste hinzufügen. Dies schützt sogar den ersten Besuch, da normalerweise die Website aufgerufen werden muss, um den Header zur Aktivierung zu erhalten.
Die Art und Weise, wie Chrome dies auf der Registerkarte "Netzwerk" anzeigt, besteht darin, eine Dummy 307-Antwort mit einer Weiterleitung auf die https-Version der Adresse zu erstellen. Aber das ist eine falsche Antwort und wird nicht vom Server generiert - die Realität ist, dass Chrome das intern erledigt hat, bevor die Anfrage überhaupt auf den Server ging.
Um diese Einstellung für eine Website zu löschen, geben Sie Folgendes in das URL-Feld von Chrome ein: chrome://net-internals/#hsts und suchen Sie dann nach Ihrer Website und löschen Sie sie. Sie können dies auch auf einer Top-Level-Domain festlegen und Subdomains hinzufügen, so dass Sie möglicherweise von dort löschen müssen. Alternativ können Sie einfach Ihre Serverkonfiguration ändern, um den Header mit einem Alter von maximal 0 zu veröffentlichen und die Site erneut besuchen, um dies zu löschen, und dann die Veröffentlichung der Kopfzeile stoppen, was für andere Browser hilfreich sein kann, bei denen es nicht so einfach ist, dies zu löschen.
Beachten Sie, dass diese Einstellung nicht gelöscht werden kann, wenn sich eine Site in der Preload-Liste befindet, da diese im Code des Webbrowsers eingebettet ist. Der Websitebesitzer kann eine Anforderung senden, die aus der Vorabladeliste entfernt werden soll. Dies dauert jedoch mehrere Monate, um den Veröffentlichungszyklus für Chrome und keine definierte Zeitleiste für andere Browser zu durchlaufen. Chrome bietet auch keine Möglichkeit, vorinstallierte Einstellungen zu überschreiben - aus Sicherheitsgründen.
Einige zusätzliche Informationen zu BazzaDP Antwort ...
Die Non-Authoritative-Reason : HSTS in der Antwort zurückgegeben wird, ist nicht etwas, das Sie konfiguriert haben, sondern sich Chrome. Da Chrome die Anfrage entführt, fügt Chrome diesen speziellen Header hinzu, um HSTS zu aktivieren. Wenn Sie auf die Netzwerkregisterkarte schauen, sehen Sie die falsche 307-Antwort mit diesem Headersatz.
All dies geschieht seit Sie enthalten die Strict-Transport-Security Header auf Ihrem Server.
Wenn Sie alle in gehen wollen, hier ist die HSTS preload list
Gibt es eine Möglichkeit, den Chrome-Cache, welche Websites diese auslösen zu löschen? Ich debugge meine Apache Reverse Proxy-Konfiguration. – gogowitsch
Details zu meiner Antwort hinzugefügt. –
Hier ist die Preload-Liste: https://hstspreload.org/ –