1. Che cosa fa preload
?
Il flag di precarico indica il consenso per consentire al dominio di accedere al preload HSTS elenco (utilizzato da Chrome, Firefox, IE 11, Edge e altri browser).
The Chrome security team allows any domain to submit their domain to the list, provided it meets the following requirements:
- HTTPS is enabled on the root domain (e.g.
https://donotcall.gov
), and all subdomains (e.g. https://www.donotcall.gov
) – especially the www
subdomain, if a DNS record for it exists.
- The HSTS policy includes all subdomains, with a long
max-age
, and a preload
flag to indicate that the domain owner consents to preloading.
- The website redirects from HTTP to HTTPS, at least on the root domain.
Fonte: link
Puoi visualizzare ulteriori informazioni sulla pagina di invio del precarico HST .
2. Che cosa fa env=HTTPS
?
Questo è un argomento della direttiva% co_de Apache (parte del modulo mod_headers ):
env=[!]varname
The directive is applied if and only if the environment variable varname
exists. A !
in front of varname
reverses the test, so the directive applies only if varname
is unset.
In questo caso, l'intestazione HTTP viene inviata solo quando è impostata la variabile di ambiente Header
. Questa variabile di ambiente viene impostata solo quando si accede a pagine / risorse tramite HTTPS. Il ragionamento alla base di questo è nella sezione 7.2 della specifica HSTS :
An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport.
Per quanto riguarda perché , vedi questa domanda .