Считается ли плохой практикой не иметь заголовки безопасности в моем API?

Question

В настоящее время у меня есть два веб-сайта.

• admin.example.com
• api.example.com

Один "admin"имеет все заголовки безопасности, рекомендованные https://securityheaders.io.

У «api» нет ни одного, что является преднамеренным.Я знаю, что это приложение будет обслуживать только JSON и является относительно простым API.

Это плохая практика?Защищают ли заголовки от каких-либо проблем сайт только для API?

У меня уже установлены заголовки HSTS в обоих сценариях, что, безусловно, важно.

Answer 1

Это зависит от requiremt API, если API является транзакционным, тогда используйте заголовки HSTS, иначе нет. Если API не содержит конфиденциальных данных, не используйте его.

Строгая транспортная безопасность HTTP (HSTS):

Допустим, у вас есть веб-сайт с именем api.example.com, и вы установили сертификат SSL / TLS и перенесен с HTTP на HTTPS. Но это не где работа останавливается. Что делать, если ваш сайт все еще доступен HTTP? Это было бы совершенно бессмысленно, верно? Многие администраторы сайта перейти на HTTPS, а затем забыть об этом, не осознавая этого. это где HSTS входит в картину. Если сайт оснащен HTTPS, сервер заставляет браузер связываться по безопасному HTTPS. это Кстати, возможность HTTP-соединения полностью исключена.