Добавить заголовок Strict-Transport-Security ко всем ответам HTTPS? - PullRequest
Новая
       21

Добавить заголовок Strict-Transport-Security ко всем ответам HTTPS?

0 голосов
/ 02 октября 2018

Читая https://hstspreload.org, я заметил в разделе «Рекомендации по развертыванию», что мне следует «Добавить заголовок Strict-Transport-Security ко всем ответам HTTPS ...» .

Из-за того, что включение HSTS-политики во все ответы https кажется мне излишним, я проверил несколько веб-сайтов, чтобы проверить, действительно ли все они включают это поле заголовка во все свои ответы https.Но даже Google это не делает, например, https://www.google.com/doodles не имеет в заголовке поля заголовка Strict-Transport-Security.

Так что мой вопрос: когда ответ сервера должен включать HSTS-policy?

Варианты, которые я вижу здесь:

  1. включать HSTS в каждый ответ https.
  2. включать HSTS в каждый ответ https, относящийся к безопасности.
  3. включает HSTSтолько для, например, example.com, но не для таких путей, как example.com/mypath
    • Я имею в виду, что рано или поздно они все равно посетят example.com, нет?
  4. включать HSTS, только если запрос имеет поле «upgrade-insecure-reports: 1»
    • Я заметил, что Chrome отправляет это поле заголовка запроса в материалах, относящихся к безопасности, если HSTS не был установлен.

1 Ответ

0 голосов
/ 02 октября 2018

Не думаю, что добавлять его в каждый ресурс - это излишне.Это очень маленький заголовок, который гарантирует лучшее изменение политики HSTS.

Многие люди даже загружают пиксель из базового домена (например, www.example.com может загрузить https://example.com/1pixel.png), чтобыполитика HSTS базового домена также загружена. Если вы настраиваете HSTS только для доставки документов, то это не принимается.

Я уверен, что не будет включать ее только на домашней странице. Это неверное предположениесказать, что рано или поздно они посещают его.

Что вас здесь беспокоит? У вас есть супероптимизированный сайт, который будет убит при обработке этого заголовка каждым ресурсом? Для CSP я бы понял, откуда вы пришлитак как этот заголовок может быть очень большим, но для HSTS я действительно думаю, что вы слишком обдумываете это. Также, если вы используете HTTP / 2, то сжатие заголовков тоже решает это. Плюс, конфигурация, необходимая только для возврата его на некоторых ресурсах, добавит сложности и хлопот.вам действительно не нужно.

...