我有一个Rails应用程序,有config.force_ssl = true个,但现在我不想要SSL加密,但我的应用程序仍在重定向到https.我听说这是Apache上HTTP严格的传输安全问题.我怎样才能禁用它?
我有一个Rails应用程序,有config.force_ssl = true个,但现在我不想要SSL加密,但我的应用程序仍在重定向到https.我听说这是Apache上HTTP严格的传输安全问题.我怎样才能禁用它?
Apache没有问题,但Rails发送了一个HSTS头.
在Chrome中,您可以通过进入about:net-internals清除HSTS状态,如ImperialViolet: HSTS UI in Chrome所述.您可能还需要清除缓存,因为config.force_ssl = true还使用301(永久)重定向.
此外,根据this answer,您还可以让应用程序发送一个最大年龄为0的STS头.在控制器中:
response.headers["Strict-Transport-Security"] = 'max-age=0'