tag manager google for chrome google-chrome http hsts

google chrome - manager - Campo de encabezado de motivo no autorizado



google tag manager (2)

Alguna información adicional a la respuesta de BazzaDP ...

El Non-Authoritative-Reason : HSTS devuelto en la respuesta no es algo que haya configurado, sino Chrome mismo. Como Chrome secuestra la solicitud, Chrome también agregará este encabezado particular para indicar que HSTS está habilitado. Mirando la pestaña de la red, verá la respuesta falsa 307 con este conjunto de encabezados.

Todo esto se hace desde que incluyó el encabezado Strict-Transport-Security en su servidor.

Si desea ir con todo, aquí está la hstspreload.org

Tengo dificultades para descubrir qué significa cuando tengo el encabezado de respuesta Non-Authoritative-Reason : HSTS

He buscado mucho, pero se me ocurrieron algunas explicaciones sobre HSTS (redirección de HTTP a HTTPS). Alguien me puede ayudar con eso? Por cierto estoy usando Chrome.

Gracias


El servidor con el que está intentando conectarse utiliza la seguridad de transporte estricto (HSTS) para garantizar que solo se use https con este sitio en lugar del http predeterminado.

Esto significa que si ingresa http://www.servername.com , Chrome lo convertirá automáticamente a https://www.servername.com .

Esta es una característica de seguridad para evitar el uso de http, que no está cifrado y que puede ser leído y alterado por un hacker. El servidor puede configurar esto indicando a Chrome (a través de un encabezado HTTP especial enviado en respuesta a las solicitudes) que utiliza HSTS. Chrome almacena en caché esta configuración durante un período de tiempo determinado, tal como se define en el valor de edad máxima en ese encabezado. Además, el propietario del sitio puede enviar su sitio a una lista de precarga que se incluye automáticamente en Chrome, que protege incluso la primera visita, ya que normalmente necesita visitar el sitio para recibir el encabezado para activar esto.

La forma en que Chrome muestra esto en la pestaña de red es mediante la creación de una respuesta ficticia 307 con un redireccionamiento a la versión https de la dirección. Pero esa es una respuesta falsa y no es generada por el servidor. La realidad es que Chrome lo hizo internamente antes de que la solicitud llegara al servidor.

Para borrar esta configuración de un sitio, puede escribir lo siguiente en el campo de URL de Chrome: chrome://net-internals/#hsts y luego buscar su sitio y eliminarlo. También puede establecer esto en un dominio de nivel superior e incluir subdominios, por lo que es posible que deba eliminar desde allí. Alternativamente, puede simplemente modificar la configuración de su servidor para publicar el encabezado con una edad máxima de 0 y volver a visitar el sitio para borrar esto, luego dejar de publicar el encabezado, lo que puede ser útil para otros navegadores donde no es tan fácil limpiarlo.

Tenga en cuenta que no puede borrar esta configuración si un sitio está en la lista de precarga ya que está incrustado en el código del navegador web. El propietario del sitio puede enviar una solicitud para que se elimine de la lista de precarga, pero esto toma varios meses para completar el ciclo de publicación de Chrome y no hay una línea de tiempo definida para otros navegadores. Chrome tampoco proporciona una manera de anular la configuración precargada, por razones de seguridad.