Как отключить заголовок HSTS с HTTP в IIS?

Question

Я внедряю HSTS. Проверка на https://hstspreload.org/ говорит мне, что это все хорошо, но я обслуживаю заголовок HSTS по HTTP, который не нужен.

Предупреждение: ненужный заголовок HSTS по HTTP Страница HTTP по адресу www.domain.com отправляет заголовок HSTS. Это не влияет на HTTP и должно быть удалено.

Теперь я не вижу в этом большой проблемы, но природа pedanti c внутри меня хочет ее исправить. Я видел этот поток, успешно решающий его, но я хочу спросить, как я могу добиться этого на моем IIS. Я использую IIS на Windwos. Любая помощь очень ценится

[редактировать] Некоторые люди неправильно поняли мой вопрос, так что сожалею об этом. Веб-сайт hstspreload предлагает вам указывать заголовок HSTS только через https: // и бесполезно обслуживать его по запросам http: //. Поэтому мой вопрос: «Как мне обслуживать заголовок только на https: //, а не на http: // запросах. Я реализовал заголовок HSTS через web.config. **

Answer 1

Это зависит от того, как вы сгенерировали заголовок HSTS.

Случай 1: Заголовок генерируется вашим приложением, как asp. net core.

Тогда вы можете просто удалить useHSTS из своего приложения

Случай 2: Заголовок генерируется заголовком настраиваемого ответа IIS

Удалите его из веб-файла .config- > Раздел httpprotocol / customheaders.

Случай 3: IST 10 HSTS включен.

Вы можете отключить его из applicationhost.config-> sites / site / HSTS. Установите значение false.

Перезапись URL-адреса может использоваться для добавления заголовка ответа или перезаписи его значения. Но его нельзя использовать для удаления всего заголовка.