Cloudflare: HSTS (Strict-Transport-Security) только для субдомена
Я бы хотел, чтобы Cloudflare отправлял заголовок HSTS в основном домене и в субдомене www , но не в других субдоменах. .
Однако я могу включить HSTS только для основного домена (и добавить includesubdomains , которые я не могу использовать, потому что не хочу, чтобы HSTS был включен на всех из них).
Итак, я подумал: может быть, решение - правило страницы! Но я не вижу ни правила страницы HSTS, ни категории правила страницы для добавления заголовка ответа HTTP.
Как мне это сделать? что-то не хватает / я слепой? Или это невозможно с Cloudflare, и я должен делать это на хосте?
Я читал о Cloudflare Workers, которые были недавно добавлены. Вчера я связался со службой поддержки, и это подтвердило мои подозрения, что это правильный путь:
Спасибо за обращение в службу поддержки Cloudflare. Меня зовут Дамиан и я буду изучать этот билет.
Cloudflare поддерживает включение HSTS для всей зоны только через нашу панель управления, если вы хотите включить ее для определенных поддомены / имена хостов, которые вам понадобятся для создания заголовка HSTS на исходном сервере или, в качестве альтернативы, вы можете использовать пограничные рабочие, чтобы добавить заголовок к ответу - https://developers.cloudflare.com/workers/about/how-workers-work/
Дамиан | Инженер службы поддержки Cloudflare Присоединяйтесь к сообществу Cloudflare
Так что используйте Workers - но сначала проверьте биллинг - если он соответствует вашим потребностям, потому что это не бесплатно: https://support.cloudflare.com/hc/en-us/articles / 360001657552