Могу ли я включить HSTS на 1 поддомен

Я хотел бы использовать HSTS только для 1 субдомена, но не для всего домена, возможно ли это?

xxx.yyy.com -> HSTS on
zzz.yyy.com -> HSTS off
    yyy.com -> HSTS off

ssl http https

— грубее
источник

Рекомендуемое чтение: страница Википедии и сам RFC . На странице Википедии есть код реализации для различных веб-серверов и ответ на ваш вопрос в RFC .

— Ладададада

@Ladadadada, за исключением того, что RFC, по-моему, недостаточно ясен в отношении доменов. В этом вопросе домен всегда yyy.com или выдача заголовка sts из xxx.yyy.com относится только к * .xxx.yyy.com (и, таким образом, рассматривает xxx.yyy.com как «домен»)?

— bvgheluwe

Да.

Отправляйте Strict-Transport-Securityзаголовок только для xxx.yyy.com, а не указывайте includeSubDomains.
Браузеры, которые правильно обрабатывают HSTS, xxx.yyy.comв этом случае будут устанавливать только требования для указанного субдомена ( ).

— voretaq7
источник

Мне просто интересно, что произойдет , если Strict-Transport-Securityна xxx.yyy.com действительно включают includeSubDomains? Разве это не повлияет *.xxx.yyy.com?

— Аарон Гибралтер

@AaronGibralter Это мое понимание (и моя интерпретация первоначального вопроса была « только для xxx.yyy.com», поэтому я сказал не устанавливать includeSubDomains) - Если вы хотите, чтобы субдомены xxx.yyy.comтакже поддерживали HSTS, то вам следует указать includeSubDomainsв заголовке.

— voretaq7

Если includeSubDomainsприсутствует для xxx.yyy.com, это также повлияет *.yyy.com? (то есть сломается zzz.yyy.comли он, если он не развлекает HTTPS)?

— mg007

Я могу это подтвердить. В моем банке есть www.bank.com и homebanking.bank.com. Это отдельные записи в списке hsts браузера, которые создаются независимо друг от друга. Список hsts в Chrome можно искать через chrome: // net-internals / # hsts -> «Запросить домен HSTS / PKP» (учтите, что это точный поиск: «банк» не дал результата).

— bvgheluwe