Мое веб-приложение работает на другом количестве хостов, которые я контролирую. Чтобы избежать необходимости изменять конфигурацию Apache каждого vhost, я добавляю большую часть конфигурации с использованием файлов .htaccess в моем репозитории, поэтому базовая настройка каждого хоста занимает всего пару строк. Это также позволяет изменить конфигурацию при развертывании новой версии. В настоящее время .htaccess (un) устанавливает заголовки, перезаписывает магию и контролирует кеширование UA.

Я хочу включить HSTS в приложении, используя .htaccess. Просто установить заголовок легко:

Header always set Strict-Transport-Security "max-age=31536000"

Но в спецификации четко сказано: «Хост HSTS НЕ ДОЛЖЕН включать поле заголовка STS в HTTP-ответы, передаваемые по незащищенному транспорту». Поэтому я не хочу отправлять заголовок при отправке через HTTP-соединения. Видетьhttp://tools.ietf.org/html/draft-ietf-websec-strict-transport-sec-14 .

Я попытался установить заголовок, используя переменные среды, но я застрял там. Кто-нибудь знает, как это сделать?