特に役に立つことは無い思い出。
HTTPで動いてるウェブサービスをHTTPS化するときのメモ - hitode909の日記
FBのクローラがHSTSをどのように解釈するのか(それ以前にクローラのみヘッダを送出しないようにする)を確認したい
2016/07/17 17:47
FBのクローラがHSTSをどのように解釈するのか(それ以前にクローラのみヘッダを送出しないようにする)を確認したい - psne のコメント / はてなブックマーク
仕様をちゃんと読みましょうね。で終わってしまうお話なのですが、自前のささやかなサービスに実験としてHSTSヘッダを送出するようにした時、「強制したら確認漏れがあった事が確認できたけれども元に戻すのどうやるの」となった時の知見。
HTTPS 通信時に max-age の値を 0 に設定することで Strict-Transport-Security ヘッダが失効し、ブラウザからの HTTP 接続が許されることになります。
ちゃんと書いてあるのですが、よく読んでから始めましょうね。
ところで、HSTS is 何?
「http://~ としてアクセスしてきたけど https://~ があるからやり直して」と伝える仕組み。(リダイレクトと組み合わせる)
話をもどして。サーバ側の設定を元に戻してもキャッシュされている為、さあ困ったと思って調べたところ、ChromeにはHSTSのキャッシュを飛ばす機能が在る事を発見。
Chromeのアドレスバーに
chrome://net-internals/#hsts
と入力してアクセスすると、HSTSの管理タブを開くことができます。
※Query domainで状態を確認する事ができます。(一例としてページ上で設定したやつ)
※隣のタブは chrome://inspect/ Inspect with Chrome Developer Tools。色々できるやつ。
サーバ側の設定を変えずにHSTSの挙動を追いたい場合に併用すると便利そうです。
*1
なお、タブを開いたままにすると感極まってタブが落ちます。
ローカル環境で一人でわたわたしただけで済んだお話。
電池が切れそうになるとわたわたたいこを叩く熊。
*1:URLを打つのが面倒なのでブックマーク入り。