提醒:本文最后更新于 2919 天前,文中所描述的信息可能已发生改变,请仔细核实。
WordPress 4.5.1 版本修复了 12 个问题。感觉都还好,详见发行注记。
博客域名于2016-04-20全面启用HSTS(HTTP Strict Transport Security),申请加入HSTS Preload List中,现已过了1个星期。据Jerry Qu说,他大概花了三周,才加到这个列表里;然后又等了两个月,才进 Chrome 主版本。
HTTPS一直在用,因为子域很多是HTTP,所以一直没启用HSTS。现在子域也全面HTTPS化了,所以就把HSTS加进来,顺便申请HSTS Preload,它的功能相当于以前需要服务器做301跳转HTTP到HTTPS,现在直接在浏览器内部完成这一步。因为HSTS实际也只是个header,也就是说成功使用HSTS的前提条件有两个,用户必须在之前成功用HTTPS访问过网站,浏览器支持HSTS协议。
两天前,在https-everywhere申请加入规则,已通过,详见传送门。
转载请注明转自:kn007的个人博客的《更新至WordPress 4.5.1,申请加入HSTS Preload List》
看不懂是什么意思,但我看了子域名 www.facebook.com 和 顶级域名 facebook.com 都能通过HSTS.
这句话是什么意思:由于预装入列表的大小,并在跨子域cookie的行为,我们只接受全域注册的自动预紧名单提交。
@pcfun: 你把根域redirect到www上。还有不要开新楼层
@kn007: 我已使用301定向到www上的,是这样的吗?
@pcfun: 就是把根域跳转到带www上的,但是现在并不接受这种形式的预加载申请。
你看看 https://hstspreload.appspot.com/?domain=www.facebook.com 是符合HSTS的
@pcfun: 首先,上面的英文的解释是说,www是个子域名,请对主域名进行预加载。因为基于预加载列表的长度,及cookie可跨子域,我们只接受主域名的预加载的申请。
最后一句话,只接受主域名的预加载申请。
像facebook和twitter这些都是内置表里的,所以显示是通过的。
你可以尝试一些非知名域名而做了HSTS优化的,因为并不能被申请,所以子域是加不进这个列表的。你只要知道includeSubDomains可以使浏览器正常工作就行了。
@kn007: 谢了,明白。