Non-Authoritative-Grund-header-Feld [HTTP]
Ich habe Schwierigkeiten, herauszufinden, was es bedeutet, wenn ich die response-header Non-Authoritative-Reason : HSTS
Gesucht hab ich viel, aber nur kam mit einigen Erklärungen über HSTS (Umleitung von HTTP nach HTTPS). Kann mir jemand helfen mit, dass? Übrigens bin ich mit Chrome.
Dank
Du musst angemeldet sein, um einen Kommentar abzugeben.
Den server Sie sich verbinden möchten, das mit verwendet strict-transport-security (HSTS), um sicherzustellen, nur https verwendet wird, die mit dieser Seite anstelle der Standard-http.
Dies bedeutet, dass wenn Sie geben Sie http://www.servername.com dann Chrome wird automatisch konvertieren Sie diese zu https://www.servername.com.
Dies ist eine Sicherheitsfunktion, um zu verhindern, dass die Verwendung von http ist unverschlüsselt und kann gelesen und verändert von einem hacker. Diese können von den server erzählen, Chrom (über einen speziellen HTTP-Header gesendet, in Antwort auf Anfragen), die es verwendet, HSTS. Diese Einstellung wird dann im Cache Chrome für die bestimmte Zeit, wie in der max-age-Wert in die Kopfzeile. Zusätzlich kann der Websitebesitzer senden Ihrer Website eine preload-Liste, die automatisch in Chrome - die schützt auch den ersten Besuch, als Sie normalerweise benötigen, um die Website zu besuchen, um zu erhalten, die Kopfzeile aktivieren.
Den Weg Chrome zeigt diese in der Registerkarte Netzwerk wird durch erstellen eines dummy-307-Antwort mit einem redirect auf die https-version der Adresse. Aber das ist ein fake Antwort und wird nicht generiert durch den server - die Realität ist Chrome habe, das intern vor der Anfrage ging sogar in die server.
Deaktivieren Sie diese Einstellung für eine Website, die Sie können geben Sie den folgenden in Chrome URL-Feld:
chrome://net-internals/#hsts
aus und suchen Sie dann für Ihre Website und löschen Sie Sie. Sie können auch festlegen, diese an eine top-level-Domänen und Unterdomänen einschließen, so dass Sie möglicherweise löschen müssen, um von dort aus. Alternativ können Sie einfach ändern Sie Ihre server config zu veröffentlichen, die header mit ein max-age von 0 und wieder auf die Website zu deaktivieren, dann Stopp der Veröffentlichung der header, die hilfreich sein können für andere Browser, wo es nicht ganz so einfach zu deaktivieren Sie diese.Hinweis: Sie können nicht deaktivieren Sie diese Einstellung, wenn eine Website in der Liste 'vorher laden', da diese eingebettet ist in die web-browser-code. Der Inhaber der Website kann einen Antrag auf Löschung aus der Liste 'vorher laden', aber das dauert mehrere Monate, um durch zu gehen der release-Zyklus für Chrome und keine definierten Zeitleiste für andere Browser. Chrome bietet auch keine Möglichkeit zum überschreiben der vorinstallierten Einstellungen - aus Gründen der Sicherheit.
Einige zusätzliche Infos zu BazzaDP Antwort...
Den
Non-Authoritative-Reason : HSTS
in der Antwort zurückgegeben wird, ist nicht etwas, das Sie konfiguriert haben, sondern Google Chrome selbst. Da Chrom entführt die Anfrage, Chrome wird auch hinzufügen, das bestimmte header zu erzählen HSTS aktiviert ist. Blick auf die Netzwerk-Registerkarte, werden Sie sehen, die gefälschte 307-Antwort mit dieser header gesetzt.All dies geschieht seit Sie enthalten die
Strict-Transport-Security
- header auf Ihrem server.Wenn Sie wollen, um all in zu gehen, hier ist die HSTS preload Liste
Nach MDN (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security):
Und die HSTS Preload Liste Bereitstellung von Empfehlungen erwähnen:
Den HTML5 Boilerplate zeigt, wie nur gesetzt
Strict-Transport-Security
über HTTPS (apache):