В моем проекте HSTS включен. Поэтому, если кто-то пытается использовать сайт по HTTP, он перенаправляется на HTTPS.
После сканирования безопасности сообщается, что файлы ttf, woff и woff2 игнорируют HSTS.
Так что, если я получу доступ: http://example.com/backend/web/lib/roboto/Roboto-Black.ttf
Затем он загрузит этот файл вместо перенаправления на HTTPS в адресной строке браузера.
Затем я проверил сетевые журналы с помощью инструментов разработчика:
1) Когда я получаю доступ к файлу шрифта с помощью HTTP, ниже приведен результат:
Таким образом, он имеет статус 301 Mover Permanently, но загружает файл шрифта через http.
2) Затем он перенаправляет в файл шрифта с HTTPS в инструментах разработчика, но URL-адрес не изменяется в адресной строке браузера.
Так, что я должен сделать, чтобы исправить эту проблему? Должен ли HSTS предотвращать загрузку файла по HTTP. Он отлично работает для файлов, которые могут отображаться в браузере, таких как HTML, CSS, JS, изображения и т. Д. Но не тот, который не отображается в браузере.