Bisakah saya mengaktifkan HSTS untuk 1 subdomain

Bacaan yang disarankan: Halaman Wikipedia dan RFC itu sendiri . Ada kode implementasi untuk berbagai server web di halaman Wikipedia dan jawaban untuk pertanyaan Anda di RFC .

@ Ladadada, kecuali bahwa RFC adalah, imo, tidak cukup jelas tentang domain. Dalam pertanyaan ini, apakah domain selalu yyy.com, atau akan mengeluarkan header sts dari xxx.yyy.com hanya berlaku untuk * .xxx.yyy.com (dan dengan demikian memperlakukan xxx.yyy.com sebagai "domain")?

Saya hanya ingin tahu, apa yang akan terjadi jika Strict-Transport-Securitydi xxx.yyy.com lakukan meliputi includeSubDomains? Bukankah itu hanya berpengaruh *.xxx.yyy.com?

@AaronGibralter Itulah pemahaman saya (dan interpretasi saya atas pertanyaan awal adalah " hanya untuk xxx.yyy.com" itulah sebabnya saya mengatakan tidak mengatur includeSubDomains) - Jika Anda ingin subdomain xxx.yyy.comjuga menegakkan HSTS maka Anda harus mengatur includeSubDomainsdi header.

Jika includeSubDomainsada, xxx.yyy.comapakah itu juga akan memengaruhi *.yyy.com? (yaitu apakah akan rusak zzz.yyy.comjika tidak menghibur HTTPS)?

Saya dapat mengkonfirmasi ini. Bank saya memiliki www.bank.com dan homebanking.bank.com. Itu adalah entri terpisah dalam daftar pertama peramban dan dibuat secara independen dari satu sama lain. Daftar pertama Chrome dapat dicari melalui chrome: // net-internal / # hsts -> "Query HSTS / domain PKP" (ingat bahwa ini adalah pencarian yang tepat: "bank" tidak menghasilkan hasil).