О, это был мой сервер приложений, который отправил первый заголовок, когда оказался в безопасном соединении.
Кто - нибудь с помощью helmet
плагина, смотрите это, чтобы управлять в вашем приложении.
Недавно я добавил поддержку https на свой сайт с обратным прокси-сервером nginx.
У меня нет add_header Strict-Transport-Security ...
строки в моем конфиге. Уже тогда я вижу Strict-Transport-Security: max-age=86400
в заголовке ответа.
Если я добавлю add_header Strict-Transport-Security "max-age=0; includeSubDomains";
в свой конфиг, я получу два заголовка в ответ!:
HTTP/1.1 200 OK * Server nginx/1.11.12 is not blacklisted Server: nginx/1.11.12 Date: Fri, 07 Apr 2017 11:46:50 GMT Content-Type: application/json; charset=utf-8 Content-Length: 37 Connection: keep-alive Access-Control-Allow-Origin: * Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: GET,PUT,POST,DELETE,OPTIONS Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization, Content-Length, X-Requested-With X-DNS-Prefetch-Control: off X-Frame-Options: DENY Strict-Transport-Security: max-age=86400 X-Download-Options: noopen X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Surrogate-Control: no-store Cache-Control: no-store, no-cache, must-revalidate, proxy-revalidate Pragma: no-cache Expires: 0 Vary: Accept-Encoding Strict-Transport-Security: max-age=0; includeSubDomains
Как это исправить?
О, это был мой сервер приложений, который отправил первый заголовок, когда оказался в безопасном соединении.
Кто - нибудь с помощью helmet
плагина, смотрите это, чтобы управлять в вашем приложении.