在非 HTTPS 网站上从 HSTS 域加载的 IMG 会破坏网站

在非 HTTPS 网站上从 HSTS 域加载的 IMG 会破坏网站

如果将 HSTS 域中的单个(或多个)资源插入 HTTP 站点(例如通过“img”标签),HSTS 是否会导致整个站点(浏览器)重定向到其 HTTPS 对应站点?

我们http://subdomain.example.com从 加载了一张图片http(s)://www.example.com,然后在图片加载时错误地http://subdomain.example.com重定向到http(s)://subdomain.example.com (导致页面基本上崩溃 - 根本无法加载)。如果我们从 HTML 中删除该图片,网站就可以正常运行。

这是预期的行为和 HSTS 的本质吗?

注意:当网站加载图片时,我们会在浏览器中看到www.example.comHSTSexample.com缓存/存储。清除缓存/存储会导致网站正常运行,但随后页面重新加载会中断(假设浏览器已识别 HSTS 一次,随后的调用将按照 HSTS 策略/性质进行重定向)。

相关内容