Voglio provare una politica HSTS sul mio blog senza abilitarlo inizialmente sul sito. Siccome una politica HSTS è solo un'intestazione di risposta HTTP, ci sarebbe qualche problema con l'invio dell'intestazione in PHP in questo modo:
header("strict-transport-security: max-age=600");
Il sito reindirizzerà qualsiasi richiesta http: // a https: // e mi rendo conto che questo probabilmente porterà all'header HSTS inviato su http: // che non dovrebbe. Tuttavia, per essere conforme allo standard HSTS, un interprete dovrebbe ignorare la politica HSTS fornita tramite http: // poiché potrebbe essere stata iniettata maliziosamente. Dato che questo è solo a scopo di test, non sono eccessivamente preoccupato comunque.
Questo mi permetterà di pubblicare l'intestazione solo su una pagina specifica e di esporla solo a me stesso senza influire su nessun altro utente. Potrei anche avere un'altra pagina per disabilitare la politica HSTS in questo modo:
header("strict-transport-security: max-age=0");
Se questo dovesse rivelarsi positivo, ci sono problemi che possono essere visti con l'emissione della politica HSTS in questo modo? Forse gli utenti su hosting condiviso o senza accesso / conoscenza per configurare un'intestazione di risposta potrebbero ancora implementare HSTS in questo modo.