使用以下方式扫描网站https://observatory.mozilla.org出现以下错误:最初从 http 重定向到 https 是指向不同的主机,从而阻止 HSTS。
问题
- 这是我的设置中存在的真正问题,还是工具中的一个错误,导致它没有将子域名视为同一个域的一部分?
- 有人可以根据以下附加信息建议我可能遗漏了什么吗?
细节
此网站的域名已在 Google Domains 注册。为确保通过 访问此网站的任何人example.com都会自动重定向至www.example.com我已使用以下规则设置了子域名转发:
example.com → https://www.example.com
Permanent redirect (301), Forward path
此外,我在(asp.net)网站中制定了规则,web.config将所有 HTTP 连接重定向到 HTTPS,并添加Strict-Transport-SecurityHTTP 标头(仅当通过 HTTPS 呈现时,按照著名的Scott Hanselman 博客的建议):
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="HTTP to HTTPS redirect" stopProcessing="true">
<match url="(.*)" />
<conditions>
<add input="{HTTPS}" pattern="off" ignoreCase="true" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />
</rule>
</rules>
<outboundRules>
<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
<match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
<conditions>
<add input="{HTTPS}" pattern="on" ignoreCase="true" />
</conditions>
<action type="Rewrite" value="max-age=63072000; includeSubDomains; preload" />
</rule>
</outboundRules>
</rewrite>
<httpProtocol>
<customHeaders>
<remove name="X-Powered-By" />
<!-- add name="Strict-Transport-Security" value="max-age=63072000; includeSubDomains; preload" / -->
<add name="Content-Security-Policy" value="default-src 'self';" />
<add name="X-Content-Type-Options" value="nosniff" />
<add name="X-Frame-Options" value="DENY" />
<add name="X-Xss-Protection" value="1; mode=block" />
</customHeaders>
</httpProtocol>
</system.webServer>
</configuration>
该网站本身托管在 Azure 中(在我的 Visual Studio 订阅免费积分下)。此处的网站 URL 是example.azurewebsites.net,在 Google Domains 中我有一个指向www的CName example.azurewebsites.net(在自定义资源记录下)。