В моем проекте HSTS включен. Поэтому, если кто-то пытается использовать сайт по HTTP, он перенаправляется на HTTPS.
После проверки безопасности сообщается, что файлы ttf, woff и woff2 игнорируют HSTS.
Так что, если я получу доступ: http://example.com/backend/web/lib/roboto/Roboto-Black.ttf
Затем он загрузит этот файл вместо перенаправления на HTTPS в адресной строке браузера.
Затем я проверил журналы сети с помощью инструментов разработчика:
1) Когда я получаю доступ к файлу шрифта с помощью HTTP, ниже приведен результат:
Таким образом, он имеет статус 301 Mover Permanently, но загружает файл шрифта через http.
2) Затем он перенаправляет в файл шрифта с HTTPS на инструментах разработчика, но URL-адрес не меняется в адресной строке браузера.
Так что я должен сделать, чтобы исправить эту проблему? Должен ли HSTS предотвратить загрузку файла по HTTP. Он хорошо работает для файлов, которые могут отображаться в браузере, таких как HTML, CSS, JS, изображения и т. Д. Но не тот, который не отображается в браузере.
Задача ещё не решена.
Других решений пока нет …