1Panel icon indicating copy to clipboard operation
1Panel copied to clipboard

Published 20 hours ago verified publisher icon 1Panel-dev

[FEATURE] 每次修改 https 证书时候希望不要自动增加 hsts

Open soonxf opened this issue 1 year ago • 7 comments
trafficstars

1Panel 版本

1.9.6

请描述您的需求或者改进建议

OpenResty 每次在 https 配置页面点击保存都会在配置里面自动加上 add_header Strict-Transport-Security "max-age=31536000";

希望可以做成配置或者默认不自动添加这个配置吗,不然每次访问 http 请求都会自动跳到 https 很烦

请描述你建议的实现方案

No response

附加信息

No response

soonxf avatar Feb 18 '24 15:02 soonxf

HSTS 的配置 为了安全 既然启用了 https 为什么不跳转呢?是有什么业务场景?

zhengkunwang223 avatar Feb 19 '24 02:02 zhengkunwang223

增加 hsts 的话, 同域名 其他 没有启用 http 的端口,也会自动跳转到 https 的

soonxf avatar Feb 19 '24 02:02 soonxf

增加 hsts 的话, 同域名 其他 没有启用 http 的端口,也会自动跳转到 https 的

是同域名多个端口吗?访问 http://a.com:8333 会跳转到 https://a.com:8333 这样吗

zhengkunwang223 avatar Feb 19 '24 02:02 zhengkunwang223

是的,希望能自定义 hsts 或者默认不要自动加这个吧...

soonxf avatar Feb 19 '24 02:02 soonxf

是的,希望能自定义 hsts 或者默认不要自动加这个吧...

好的 我们看一下 增加一个配置来解决这个事情

zhengkunwang223 avatar Feb 19 '24 02:02 zhengkunwang223

是这样的 https://a.com:8080 这个端口有 hsts 策略的话,然后访问下 https://a.com:8080 <https://a.com:8080 > ,同域名下的 http://a.com:808 <https://a.com:8080/ >1 就会自动重定向到 https://a.com:808 <https://a.com:8080/ >1 ,自动走 https 协议,哪怕我没有给 808 <https://a.com:8080/ >1 端口设置 https 协议

soonxf avatar Feb 19 '24 02:02 soonxf

这个应该作为可选选项,也就是用户可以选择关闭这个。
还有一个问题,https跳转到http的配置块也会被删掉,但这明明是我为了测试而故意加进去的,而且我选择的是“HTTP可以访问”

if ($scheme = "https") {
    return 307 http://$host$request_uri ;
}

bddjr avatar Feb 20 '24 11:02 bddjr

有审计系统的流量分析模块对无法降级劫持的 HTTPS(HSTS) 流量进行屏蔽,HSTS 应该选择性开启,默认关闭

ragnaroks avatar Mar 13 '24 08:03 ragnaroks

v1.10.12-beta 版本已发布。

wanghe-fit2cloud avatar Jul 11 '24 08:07 wanghe-fit2cloud