Если я использую HSTS на nginx, веб-сайт принудительно перенаправляет на HTTP ?
Мне нужно получить доступ к некоторым изображениям и файлам JS через HTTP, но если я включу HSTS с помощью add_header Strict-Transport-Security «max-age = 31536000»; , все файлы обслуживаются принудительно через HTTPS.
Поэтому я использовал add_header Strict-Transport-Security "max-age = 0;" .
Есть ли способ доступа к файлам через HTTP с включенным HSTS?
HSTS не является перенаправлением: сначала вам нужно будет перенаправить HTTP на HTTPS, затем заголовок HSTS сообщает вашему браузеру никогда не возвращаться к HTTP. Это и есть его цель. Если у вас есть HSTS, вы ничего не предоставляете по HTTP.
Вы упомянули, что вам это нужно для некоторых изображений ja JavaScripts. Однако, если ваш сайт находится на HTTPS, браузеры не должны доверять внешним ресурсам через HTTP. Особенно опасно было бы загружать JavaScript через HTTP на сайт, защищенный TLS: сценарий может быть изменен, чтобы предоставлять данные внутри защищенного соединения.
Если вам нужно предоставить статический контент за пределами сайта, вы можете использовать поддомен. Поскольку вы не установили includeSubDomains в заголовке HSTS, он не применяется к поддоменам. Вы все еще можете использовать static.example.com/path/to/image.jpg через HTTP.