Мое веб-приложение работает на другом количестве хостов, которые я контролирую. Чтобы предотвратить необходимость изменения конфигурации Apache для каждого виртуального хоста, я добавляю большую часть конфигурации с использованием файлов .htaccess в свое репо, поэтому базовая настройка каждого хоста занимает всего пару строк. Это также дает возможность изменить конфигурацию при развертывании новой версии. В настоящее время .htaccess (un) устанавливает заголовки, выполняет некоторую магию перезаписи и контролирует кеширование UA.
Я хочу включить HSTS в приложении, используя .htaccess. Просто настроить заголовок очень просто:
Header always set Strict-Transport-Security "max-age=31536000"
Но в спецификации четко указано: «Хост HSTS НЕ ДОЛЖЕН включать поле заголовка STS в HTTP-ответы, передаваемые по незащищенному транспорту». Поэтому я не хочу отправлять заголовок при отправке по HTTP-соединениям. См. http://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec-14.
Я пытался установить заголовок с помощью переменных окружения, но застрял там. Кто-нибудь знает, как это сделать?