読者です 読者をやめる 読者になる 読者になる

すなばいじり

はてなブログを使って、トンピーを揃えるまで止めないブログ。ふっくらかわいい。


こちらは、水先案内です。
あわせて読みたい 機能 をどうぞご利用ください。
Proxy Hacking Protection を どうぞご利用ください。


Hatena::diary ネタまとめ
Hatena::blog SLview+ 開発日誌
Develop::site Cosmonaut
人気記事表示するやつと、それをTwitterへアナウンスするやつ

安易にHSTSヘッダを入れてみた思い出


特に役に立つことは無い思い出。

HTTPで動いてるウェブサービスをHTTPS化するときのメモ - hitode909の日記

FBのクローラがHSTSをどのように解釈するのか(それ以前にクローラのみヘッダを送出しないようにする)を確認したい

2016/07/17 17:47

FBのクローラがHSTSをどのように解釈するのか(それ以前にクローラのみヘッダを送出しないようにする)を確認したい - psne のコメント / はてなブックマーク

 

仕様をちゃんと読みましょうね。で終わってしまうお話なのですが、自前のささやかなサービスに実験としてHSTSヘッダを送出するようにした時、「強制したら確認漏れがあった事が確認できたけれども元に戻すのどうやるの」となった時の知見。

HTTPS 通信時に max-age の値を 0 に設定することで Strict-Transport-Security ヘッダが失効し、ブラウザからの HTTP 接続が許されることになります。

ちゃんと書いてあるのですが、よく読んでから始めましょうね。

 

ところで、HSTS is 何?

「http://~ としてアクセスしてきたけど https://~ があるからやり直して」と伝える仕組み。(リダイレクトと組み合わせる)

developer.mozilla.org

 

 

話をもどして。サーバ側の設定を元に戻してもキャッシュされている為、さあ困ったと思って調べたところ、ChromeにはHSTSのキャッシュを飛ばす機能が在る事を発見。

Chromeのアドレスバーに

chrome://net-internals/#hsts

と入力してアクセスすると、HSTSの管理タブを開くことができます。

chrome://net-internals/#hsts
※Query domainで状態を確認する事ができます。(一例としてページ上で設定したやつ)
※隣のタブは chrome://inspect/  Inspect with Chrome Developer Tools。色々できるやつ。

サーバ側の設定を変えずにHSTSの挙動を追いたい場合に併用すると便利そうです。
*1

なお、タブを開いたままにすると感極まってタブが落ちます。

 

ローカル環境で一人でわたわたしただけで済んだお話。

 

 

電池が切れそうになるとわたわたたいこを叩く熊。 

NEW リズムでともだち こぐまのトンピー ぬいぐるみ
 

 

*1:URLを打つのが面倒なのでブックマーク入り。