Я не хочу includeSubDomains вариантКак отключить includeSubDomains для HSTS в рельсах?
➔ curl -s --head https://example.com/ |grep Strict
Strict-Transport-Security: max-age=15552000; includeSubDomains
не кажется Это будет работать:
config.force_ssl = true
config.ssl_options = { hsts: { subdomains: false } }
Что я делаю неправильно?
Rails 5.0.1
Проблема оказалась в том, что Rails 5 имеет инициализатора, new_framework_defaults.rb, который имеет следующую строку:
Rails.application.config.ssl_options = { hsts: { subdomains: true } }
Потому что в инициализаторе, независимо от того, что вы вкладываете в среде конфигурации, те настройки не влияют. Я открыл вопрос об этом здесь: https://github.com/rails/rails/issues/27638
я настоятельно рекомендую с помощью secureheaders gem так что вы получите лучший контроль над этими заголовками (и других подобных).