【发布时间】:2015-03-20 16:08:07
【问题描述】:
我的网站有两个不同的证书。一种供官方使用,因此用户看不到自签名警报。还有一个供私有子域内部使用(用于 phpmyadmin、roundcube 等)。这些子域仅供管理员使用,所以对我来说花钱购买通配证书似乎没用。因此通配符证书是自签名的,我已经记住了哈希。
另外,我在与 http 不同的端口(不是不同的子域)上的服务器上安装了 etherpad。 Etherpad 现在似乎发送此标头“Strict-Transport-Security: max-age=31536000; includeSubDomains”,这很愚蠢,因为我找不到关闭“includeSubDomains”的选项。
现在,当我在我的 pad 中,然后尝试使用我的管理子域时,由于 HSTS,我得到了一个错误,没有设置异常的选项,因此这些现在对我来说是不可用的。
有人知道如何摆脱 etherpad 安装中的“includeSubDomains”吗?
如果有人可以帮助我,我会很高兴。谢谢。
【问题讨论】:
-
你可以修改设置此标头的一个位置……github.com/ether/etherpad-lite/…
-
当然,但是原生的会更好。如果我从 github 拉取更新,那不会被覆盖吗?
-
是的,当然,如果您更新,您必须再次这样做。如果您不希望这样,那么我认为您可能必须代理请求,以便您可以在将标头发送到客户端之前对其进行修改……我不知道 node.js 是否提供了另一个“层”来封装这样的应用程序,否则您可以这样做。
-
嗯,好主意。谢谢!
-
在 Etherpad 中禁用 SSL,将 SSL 放在反向代理(如 nginx)上,然后不会应用标头。
标签: ssl https self-signed etherpad hsts