我不想要这个includeSubDomains选项
➔ curl -s --head https://example.com/ |grep Strict
Strict-Transport-Security: max-age=15552000; includeSubDomains
这似乎不起作用:
config.force_ssl = true
config.ssl_options = { hsts: { subdomains: false } }
我究竟做错了什么?
导轨 5.0.1
问题原来是 Rails 5 有一个初始化程序 new_framework_defaults.rb,它有这样一行:
Rails.application.config.ssl_options = { hsts: { subdomains: true } }
因为它在初始化程序中,所以无论您在环境配置中放置什么,这些设置都没有效果。我在这里打开了一个关于此的问题:https ://github.com/rails/rails/issues/27638
我强烈建议您使用secureheaders gem,这样您就可以更好地控制这些标头(以及其他类似的标头)。