HSTS 헤더가있는 경우 크롬에서 HTTPS를 강제로 실행하지 않는 이유는 무엇인가요?

Question

내 서버 쪽에서 이미 HSTS 헤더를 사용하도록 설정 한 경우 Google 크롬이이를 무시하는 이유는 무엇입니까? http로 자유롭게 웹 사이트에 접속할 수 있습니다. 나는 브라우저가 HTTPS에서만로드하도록 웹 사이트를 강제해야한다고 기대하고 있습니다. 결국, HSTS는 그 목적을위한 것입니다. 내가 틀렸다면 나를 바로 잡아주세요. 참조는 : Video

Connection:keep-alive 
Content-Encoding:gzip 
Content-Type:text/html; charset=UTF-8 
Date:Mon, 18 Dec 2017 07:15:18 GMT 
Link:<http://example.com/wp-json/>; rel="https://api.w.org/" 
Server:nginx 
Set-Cookie:wfvt_1954975060=5a376b06351b6; expires=Mon, 18-Dec-2017 07:45:18 GMT; Max-Age=1800; path=/; HttpOnly 
Strict-Transport-Security:max-age=63072000; includeSubdomains; 
Transfer-Encoding:chunked 
Vary:Accept-Encoding 

Answer 1

Strict-Transport-Security 헤더는 HTTPS 페이지에 대해서만 유효합니다. HTTP 페이지에서 무시됩니다. 사용자가 HTTPS를 사용하도록 강요하고 모든 HTTP 페이지에서 HTTPS로 리디렉션하고 리디렉션되는 페이지에 Strict-Transport-Security 헤더를 제공합니다.

MDN explains why :

참고 : 사이트가 HTTP를 사용하여 액세스 할 때 Strict-Transport-Security 헤더 브라우저에 의해 무시됩니다 이는 공격자가 HTTP 연결을 가로 채서 헤더를 삽입하거나 제거 할 수 있기 때문입니다. 인증서 오류없이 HTTPS를 통해 사이트에 액세스하면 브라우저는 귀하의 사이트가 HTTPS를 사용할 수 있음을 알고 Strict-Transport-Security 헤더를 수락합니다.