如果将 HSTS 域中的单个(或多个)资源插入 HTTP 站点(例如通过“img”标签),HSTS 是否会导致整个站点(浏览器)重定向到其 HTTPS 对应站点?
我们http://subdomain.example.com
从 加载了一张图片http(s)://www.example.com
,然后在图片加载时错误地http://subdomain.example.com
重定向到http(s)://subdomain.example.com
(导致页面基本上崩溃 - 根本无法加载)。如果我们从 HTML 中删除该图片,网站就可以正常运行。
这是预期的行为和 HSTS 的本质吗?
注意:当网站加载图片时,我们会在浏览器中看到www.example.com
HSTSexample.com
缓存/存储。清除缓存/存储会导致网站正常运行,但随后页面重新加载会中断(假设浏览器已识别 HSTS 一次,随后的调用将按照 HSTS 策略/性质进行重定向)。