Cloudflare: HSTS (Strict-Transport-Security) только для поддоменов

Question

Cloudflare: HSTS (Strict-Transport-Security) только для поддоменов

Я хотел бы, чтобы Cloudflare отправлял заголовок HSTS на основном домене и на www субдомен, но не другие субдомены.

Однако я могу включить HSTS только для основного домена (и добавить includesubdomains, который я не могу использовать, потому что я не хочу, чтобы HSTS был включен на всех из них).

Вот я и подумал: может быть, решение для страницы - это решение! Но я не вижу ни правила страницы HSTS, ни категории правил страницы, чтобы добавить заголовок ответа HTTP.

Как мне это сделать? Я что-то упускаю / я слепой? Или это невозможно с Cloudflare, и я должен сделать это на хосте?

3

ssl cloudflare hsts

Источник

user643011 12 июл '18 в 09:01

1 ответ

Решение

Другие вопросы по тегам ssl cloudflare hsts

user643011 14 сен '18 в 12:53 2018-09-14 12:53 · Accepted Answer · 2018-09-14 12:53

Я читал о Cloudflare Workers, которые были добавлены недавно. Я связался со службой поддержки вчера, и это подтвердило мое подозрение, что это путь, по которому можно пойти:

Спасибо за обращение в службу поддержки Cloudflare. Меня зовут Дамиан, и я буду искать этот билет для вас.
Cloudflare поддерживает включение HSTS только для всей зоны через нашу панель мониторинга. Если вы хотите включить его для определенных поддоменов / имен хостов, вам нужно либо создать заголовок HSTS на исходном сервере, либо вы можете использовать пограничные рабочие, чтобы добавить заголовок в ответ - https://developers.cloudflare.com/workers/about/how-workers-work/
Дамиан | Cloudflare Support Engineer Присоединяйтесь к сообществу Cloudflare

Поэтому используйте Workers - но сначала проверьте выставление счетов - если он соответствует вашим потребностям, потому что он не бесплатный: https://support.cloudflare.com/hc/en-us/articles/360001657552