Как я могу обеспечить поддержку HSTS в Rails 4

Question

В Rails 5 мы можем сделать что-то вроде: config.ssl_options = { hsts: { expires: 10.days } }

Я нашел старую статью, в которой говорится, что я могу применить ее с помощью

  before_filter :strict_transport_security
  def strict_transport_security
    if request.ssl?
      response.headers['Strict-Transport-Security'] = "max-age=31536000; includeSubDomains"
    end
  end

В этом файле есть метод HSTS, означает ли это, что он включен по умолчанию в Rails 4.2? https://github.com/rails/rails/blob/4-2-stable/actionpack/lib/action_dispatch/middleware/ssl.rb

Answer 1

В Rails 5 добавлено больше опций, которые вы можете указать в ssl_options, но у rails 4 уже были базовые, включая hsts: { expires: 10.days, subdomains: false }, как вы видите в коде.

config.force_ssl = true
config.ssl_options = { hsts: { expires: 10.days, subdomains: false } }