Как запретить nginx отправлять заголовок Strict-Transport-Security?

1728
Urmil Parikh

Недавно я добавил поддержку https на свой сайт с обратным прокси-сервером nginx.

У меня нет add_header Strict-Transport-Security ...строки в моем конфиге. Уже тогда я вижу Strict-Transport-Security: max-age=86400в заголовке ответа.

Если я добавлю add_header Strict-Transport-Security "max-age=0; includeSubDomains";в свой конфиг, я получу два заголовка в ответ!:

HTTP/1.1 200 OK * Server nginx/1.11.12 is not blacklisted Server: nginx/1.11.12 Date: Fri, 07 Apr 2017 11:46:50 GMT Content-Type: application/json; charset=utf-8 Content-Length: 37 Connection: keep-alive Access-Control-Allow-Origin: * Access-Control-Allow-Credentials: true Access-Control-Allow-Methods: GET,PUT,POST,DELETE,OPTIONS Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization, Content-Length, X-Requested-With X-DNS-Prefetch-Control: off X-Frame-Options: DENY Strict-Transport-Security: max-age=86400 X-Download-Options: noopen X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Surrogate-Control: no-store Cache-Control: no-store, no-cache, must-revalidate, proxy-revalidate Pragma: no-cache Expires: 0 Vary: Accept-Encoding Strict-Transport-Security: max-age=0; includeSubDomains

Как это исправить?

0
Вы проверили все конфигурационные файлы nginx? Конечная конфигурация обычно объединяется из нескольких. Попробуйте запустить `grep -r 'Strict-Transport-Security'` из папки` / etc / nginx / `. Проверьте также в `/ usr / local / nginx`, существует ли он. Marek Rost 7 лет назад 0
Также добро пожаловать в SuperUser:] Marek Rost 7 лет назад 0

1 ответ на вопрос

1
Urmil Parikh

О, это был мой сервер приложений, который отправил первый заголовок, когда оказался в безопасном соединении.

Кто - нибудь с помощью helmetплагина, смотрите это, чтобы управлять в вашем приложении.

Отметьте ответ как решение тогда. Marek Rost 7 лет назад 0

Похожие вопросы